Kachel-Visualisierung - HighCharts in Mobile App - Access Denied

Ist etwas versteckt unter Webserver.

Ist nach meinem Verständnis seit der V5.1 dort: „Spezialschalter für Basis Authentifizierung des WebFront User Ordners, welche auch für den 3777 Server (inkl. Connect) gelten.“

Vielleicht kann das ja jemand vom Symcon-Team bestätigen oder ggf. richtigstellen.

Doch das ist so.
U.a. aus dem Grund wurde diese Doku Seite direkt in der Hauptkategorie gleich nach Installation eingeführt:

Da der Ordner aber per Default ‚leer‘ ist, ist es ja erstmal sicher. Bis du ihn halt befüllt hast.
Michael

Gut zu wissen. Wie konkret ist denn die Gefahr tatsächlich? Kann der „Angreifer“ nur die Skripte ausführen, oder sie sogar verändern?

Im ersten Fall müsste ich kontrollieren, was die Skripte so machen und entscheiden, ob ich damit leben kann (im Fall von IPSHighCharts kann ich das vermutlich).

Der zweite Fall wäre sehr bedenklich.

Ist halt ein Webserver. Also auf jeden Fall ausführen von PHP und anfordern von Dateien.
Mehr… :man_shrugging:
Michael

Ok. Also ist die Empfehlung wohl, ihn mit User und Passwort abzusichern. Das werde ich dann mal tun :slight_smile:

Da mir das Thema bislang gar nicht bekannt war, behaupte ich mal, dass es vielen (den meisten?) auch so geht.

@paresy: wäre da nicht ein deutlicherer Hinweis angebracht oder gar eine automatische Prüfung (eventuell beim Start des Dienstes) ob der Ordner genutzt wird?

Der deutliche Hinweise sollte im Sicherheits Widget sein. Wobei ich das Widget bei mir gerade nicht gefunden haben :fearful:
Michael

Zurück zum Thema :slight_smile:

Nach dem Setzen eines Passworts funktionieren die Highcharts bei mir auch nicht mehr. Es fehlt die Passwortabfrage und es kommt zum „Access denied“.

…vielleicht wäre das eine guter Zeitpunkt, dass einer der Entwickler uns auf die Sprünge hilft… @paresy @Dr.Niels

So wie ich das sehe, betrifft das aktuell alle Zugriffe auf Resourcen, die einen Login via Dialog machen wollen. Dieser kommt aktuell nicht nach draußen und führt zu „Access denied“. Wir schauen mal, ob wir den nicht abfangen können und eine Eingabe anzeigen.

edit: Tatsächlich ist das abfangen insbesondere im Browser gar nicht so einfach. Einen schnellen Fix kann ich hier also leider nicht anbieten. Wir sind aber dran und schauen, was wir da machen können.

Danke für die Rückmeldung - nur hatte ich gehofft, dass es eine kleinere Korrektur ist (da es ja in der alten App mit IPS V7.x jetzt immer noch funktioniert).

Vor genau 10 Jahren hatten wir übrigens ein fast identisches Problem. Damals hat das paresy irgendwie gefixt - vielleicht ist das ja hilfreich?

Hallo @Dr.Niels ,

würde gern das Thema noch einmal nach oben holen (da mich das Problem der Authentifizierung in der neuen App am Umstieg auf die neue Visualisierung hindert):

Darf ich mir Hoffnung auf eine Lösung machen? Mir ist gerade noch die Lösung von @paresy eingefallen, die das gleiche Problem bei der damaligen App-Umstellung beschreibt.

Danke.

Ich habe mal für die nächste Beta der App einen Login-Dialog analog zum Web gebaut. Ich hoffe damit klappt es dann erstmal.

Super, perfekt! Login-Dialog kommt und die HighCharts laufen wieder! Danke!

Guten Morgen, @Dr.Niels

danke nochmals für die Lösung, leider gibt es aber noch ein Problem: Die Credentials werden anscheinend nicht gespeichert, beim Öffnen der App nach Neustart werden diese wieder abgefragt. Kannst Du das bitte noch beheben?

Ich mache in meiner Lösung leider nichts anderes als die Anfrage nach Credentials an einen Dialog weiterzuleiten. Wenn der bestätigt wird, weiß ich noch nicht mal, ob die Daten korrekt waren oder nicht. Daher kann ich nicht „einfach so“ ein Speichern hinzufügen, das wird aufwendiger. Vorerst müsste ich dich also darauf vertrösten, dass du dich wohl jedes mal anmelden musst.

Mittelfristig wäre es sicherlich sinnvoll, HighCharts als Modul mit HTML-SDK anzubieten, dann fällt die ganze Problematik weg und man muss auch keine Skripte hin- und herschieben. Dennoch ist mir natürlich wichtig, dass allgemein HTML-Inhalte mit Login auch in der App funktionieren. Ich sehe HighCharts und den user-Ordner daher nur als Sonderfall für ein allgemeines Feature.

Danke für die Rückmeldung, auch wenn sie das Problem leider nicht löst… Ich sehe das Thema genauso wie Du als einen Anwendungsfall des übergeordneten Fehlers „HTML-Inhalt mit Login im user-Verzeichnis“. Was mich nur wundert, dass es in der alten App (auch mit IPS 7) immer noch funktioniert - was ist da in der neuen App anders? Es sind die selben HTML-Variablen und die selben Skripte…

Ich gebe die Hoffnung nicht auf, dass Ihr da noch eine Lösung findet! Bis dahin warte ich mit der alten App. Danke!

PS: Falls jemand eine Idee hat, wie man die HighCharts über das HTML-SDK einbinden kann, gern her damit :wink: Ein eigenes Modul ist für mich eine Nummer zu groß. Die HighCharts sind für mich noch immer die beste Lösung für komplexe Charts.

Ich möchte das Thema gern noch einmal nach oben bringen, da es m.E. ein kritisches Problem in der iOS-App (für alle HTML-Inhalte mit Login) ist, das aktuell nur durch das (sicherheitsrelevante) Ausschalten der Authentifizierung des user-Ordners praktisch zu beheben ist. (Jedes Mal User und Passwort einzugeben für jede einzelne HTML-Box macht die App letztlich nicht benutzbar.)

In den Changelogs der letzten Betas habe ich herauslesen, dass hier etwas geändert wurde. Leider ist der Bug aber immer noch da… Habt Ihr das noch auf dem Radar @Dr.Niels ?

Hast du denn die Beta-Version (über TestFlight/Beta Kanal) ausprobiert?

paresy

Ja, immer die aktuelle Beta im Testflight. Ich habe zwar den Eindruck, dass die Passwort-Abfrage etwas seltener kommt, aber kann es nicht exakt einer bestimmten Situation zuordnen (Netzwerkwechsel? Zeit?
PS: Bei IPS bin ich auf stable.
PPS: Hab mal auf die IPS beta gewechselt, kein Unterschied…

Ich hatte die Hoffnung, dass in der V8 der App der oben beschriebene Bug behoben ist. Leider funktioniert das noch immer nicht.

Frage an das Entwickler-Team: Können wir noch mit einer Lösung für das Login bei HTML-Boxen rechnen oder muss ich wohl oder übel alle meine HighCharts rausschmeißen? (Die IPS-Charts sind zwar gut, aber es fehlen wichtige Funktionen wie Pie Charts, Bar Stacking, Skalierung).