Eben zufällig festgestellt, dass ein einmal im WFC registriertes Mobile-Gerät drin bleibt und Push-Nachrichten erhält, unabhängig davon, ob ein Passwort gesetzt oder verändert wurde (IPS V #3426).
KTritt dann auf, wenn man (unwissend/irrtümlich) kein PW im WFC gesetzt hat und sich jemand mit der App auf das WFC geschaltet hat.
Dazu gibt es bis heute (trotz der Diskussionen hier im Thread) keine Erwähnung der Risiken der Fehlkonfiguration in der Doku, im WFC und im WebServer-Modul stehen missverständliche Aussagen drin (Beispiel Webserver/Konfiguration: „Basisauthentifizierung nicht für Webfront/Webserver verwenden“, darunter die Checkbox „Benutze Authentifizierung“)
das ist schon immer so gewesen. Nur hast du seit Version 3.1 die Kontrolle innerhalb der Konsole wer Push-Nachrichten empfängt. Vorher konnte nur jeder selber in der App diese ausschalten. Meines Erachtens ist das ein erhebliche Verbesserung zur Sicherheit und Administrierbarkeit.
Dass eine Registrierung für Push-Nachrichten von einem Kennwortwechsel des Konfigurators unbetroffen bleibt, halte ich für korrekt. Du hast im Reiter „Benachrichtigungen“ jederzeit die vollständige Kontrolle. Wenn du vergisst ein Kennwort zu setzen, hast du meines Erachtens die Pflicht zu schauen, ob sich dort jemand registriert hat. Falls ihr anderer Meinung seid, können wir dort gerne etwas verbessern.
paresy
PS: Ich werde in die Konsole gerne noch einen Hinweis einbauen, dass beim Deaktivieren des Mobil-Zugriffs der Empfang von Push-Nachrichten unabhängig davon deaktiviert werden muss. Und du hast Recht dass dieser „Fallstick“ einen Satz in der Doku verdient hätte.
bei allem Respekt: „…das ist schon immer so gewesen“ kann doch nicht Euer Ernst sein???
Natürlich bin ich als Admin für mein System verantwortlich. Aber wenn ich nicht alle Abhängigkeiten kenne, weil es auch die Doku verschweigt, kann man es sich nicht so einfach machen und alles auf den User abwälzen.
Ich finden den Umgang mit sicherheitsrelevanten Themen in IP-Symcon sehr bedenklich. Ich würde mir wünschen, dass diese Themen sorgsamer und engagierter behandelt würden.
Mein zwischenzeitlich wiedererstarktes Vertrauen ist mal wieder erschüttert. Ich frage mich, auf welche „Baustellen“ wir in Zukunft hoffen dürfen, die „schon immer so waren…“, aber kein Entwickler zu beschreiben wagte…
Warum müssen User immer wieder sehenden Auges gegen die Wand fahren, bis sich was tut (Stichwort: Doku?!?)?
Ich frage mal anders: Hast du eine Idee wie man es besser, einfacher und intuitiver machen kann? Das ist meines Erachtens immer die bessere Lösung als jeden Fallstrick zu dokumentieren. Hab mir aber ein Ticket für die Doku Verbesserung eingerichtet, damit ich einige Sätze zu den möglichen Problem der WebFront Konfiguration schreibe. Ich habe den Bedarf da in der Tat unterschätzt.
Ich hatte dir , als die erste Diskussion in diesem Thread aufkam, ein paar Mails mit Vorschlägen geschickt.
Ich such das bei Gelegenheit nochmal raus.
Und vielleicht meine Sicht nochmal mit etwas niedrigerer Tonlage beschrieben:
Dass solche Dinge passieren, ist m.E. vollkommen normal. Nur entsteht bei mir (und nicht nur bei mir) der Eindruck, als würden diese Hinweise, Warnungen, Vorschläge -aus welchen Gründen auch immer - ignoriert. Manchmal nicht mal das.
Und ich hab auch schon Usermeinungen gehört, die aus diesem Verhalten Arroganz ableiten. Ich persönlich weiß, dass es nicht so ist.
Aber mit etwas mehr Dialogbereitschaft (und konsequenterer Umsetzung) - noch dazu bei solch sensiblen Themen - gäbe es wesentlich weniger Reibung, dafür immens mehr Reputation… Und das ohne große Mühen.
es gibt ja zu diesem Thema einige Threads. Ich habe in einem gelsen, dass in Version 3.3 die Sicherheitsprobleme behoben wurden. Kann ich nun bedenkenlos die Basis-Auth. deaktivieren (Sicherheit IP-Symcon :: Automatisierungssoftware), wenn ich in der Konfigurator-Instanz des jeweiligen Webfront Konfigurator unter Sicherheit ein Kennwort vergeben habe?
@RS - falls es hier zu einer klaren Aussagen kommen sollte, wäre super, wenn du auch deinen Blog-Eintrag aktualisierst - dein Blog ist denke ich ein großer Infoverteiler
Die Frage ist doch, warum willst du sie deaktivieren ? Treten Probleme auf ?
Sie schützt (wenn der Webserver auf den Ordner Webfront zeigt) doch eh nur noch den User Unterordner, und nicht das Webfront.
Michael
ja - es treten Probleme auf. Nutze das IPS_CAM Modul. Das Modul legt Kamerabilder im user ordner ab. Auf meinem iphone kann ich dann nicht darauf zugreifen, da ich in den Einstellungen die Auth. nicht hinterlegen kann. Früher ging das mal
