[v3.2.0-beta.40] "sichere Verbindung" Haken wird nicht gespeichert?

[mcuiobroker]

Ich möchte ja nur ein Password für das Frontend. Wenn ich jetzt "sichere Verbindung" wähle und für Frontend ein Passwort vergebe bekomme ich einen Fehler.

Dabei ist mir aufgefallen, dass er die "Sichere Verbindung" wieder gelöscht hat? Haken raus, obwohl mit gespeichert.

Originally posted by @mcuiobroker in https://github.com/Zefau/ioBroker.jarvis/discussions/2691#discussioncomment-9916842

Das war auch im iobroker-LOG

[mcuiobroker]

defaultPublic zieht auch nicht

[Zefau]

Wie die Fehlermeldung im Log sagt, du musst wenn du sichere Verbindung auswählst auch ein Public sowie privates Zertifikat angeben, sonst setzt Jarvis es zurück.

[mcuiobroker]

Wenn ich jetzt beide Zertifikate auswähle, dann kommt die PIN-Abfrage PIN eingegeben -> schwarzer Bildschirm.

Dann F5-Reload -> Anzeige ohne CSS Hab jetzt den Apache Server https fähig gemacht https://www.tecchannel.de/a/owncloud-9-unter-ubuntu-server-16-04-lts-installieren,3277807,2 Nach Änderung der http auf https Adressen trotzdem kein Erfolg, aber keine Fehler-Nachricht bzgl. Mixed Content.

• Das Passwort merkt er sich anscheinend im Cache, denn nach Reload (F5) keine Nachfrage mehr.

Jetzt kommt nur noch nach F5 dieser Fehler

[mcuiobroker]

Fehler gefunden. (hatte den Start-Pfad für den Server aufgrund der Anleitung geändert ; vorher. /var/www/html, danach /var/www) -> jetzt klappt CSS und scripts wieder

Offenes Problem:

• nach Eingabe der PIN kommt nur schwarzer Bildschirm
• PIN-Eingabe nur einmal nicht mehr nach Reload (F5)? evtl. Optional (es gab früher eine Einstellung wo man es setzen konnte)

Frage hierzu: Hiernach soll man keine sicheren Daten eingeben, wofür dann https?

Warnungen aktiviert -> F5 Erweitert -> weiter -> Warnungen deaktiviert

[mcuiobroker]

iobroker muss letztendlich dann auch auf https laufen, da man sonst, wenn man z.B. VIS integriert wieder das Problem mit Mixed Content bekommt?

[Zefau]

Was hast du da mit Apache gemacht? Wofür ist das notwendig?

Ja, du kannst kein http Content in https einbinden. Vis bzw Web Adapter muss dann auch auf https laufen.

[mcuiobroker]

Apache umgestellt auf https. Gebrauche ich als Dateiserver für die Scripts-Importe und CSS-Importe.

Habe jetzt Admin auf https umgestellt und Web umgestellt Und trotzdem kommt "nicht sicher"

Im LOG

[Bernd9000]

Ich meine das hängt doch von den Zertifikaten ab, oder ? Ist es nicht so das selbstsignierte Zertifikate grundsätzlich im Browser als unsicher eingestufft werden ?

Nachtrag: Sehe gerade, steht ja im Log "Falling back...." Da müßte man den Grund finden warum...

@mcuiobroker Im web Adapter steht bei Dir unter Zertifikate "defaultPublic", sind das nicht dann die selbst signierten Zertifikate ?

[mcuiobroker]

Das mag sein. Für mich als "http-User" ist es schwierig zu verstehen, warum ioBroker "https" unterstützt, dann aber z.B. für cloud.0 wieder sagt, installiere eine zusätzliche Instanz. Was soll da die Extra Instanz bringen? Wenn es bei den Umstellungen dann doch "unsicher" ist und man keine Daten übertragen soll, warum das Ganze danneinstellen. Letztendlich ist doch das Ziel jarvis mit einer / oder mehreren PINs / Passwörtern für bestimmte User eingrenzen zu können. Wenn ich mir vorstelle, dass muss dann jeder User so machen, halte ich es für sehr schwierig das noch zu supporten, wenn man da nicht eine saubere Doku zu hat. Für mich sind da offene Fragen

• was mache ich jetzt mit der cloud
• wie muss ich einstellen
• bei selbstsignierten Zertifikaten war sonst immer die Rede von "einmal" bestätigen und fertig, warum jetzt nicht?
• usw. und da kommen sicher noch zig andere Fragen und Probleme, die dann bei den anderen Usern auch auftreten werden

[mcuiobroker]

@Bernd9000 Ich hatte keine anderen zur Auswahl? Ich hab von https keine Ahnung, wie und was dort einzustellen ist

[Bernd9000]

Ich hab das auch noch nicht gemacht aber die Zertifikate müssen öffentlich signiert sein damit Sie im Browser akzeptiert werden. Selbst signierte funktionieren auch aber es kommt dann eben eine Warnung im Browser. Ich glaube für öffentlich signierte ist das "Let's encrypt Zertifikate" im web Adapter zuständig.

Und deswegen bin ich bei http geblieben...

[mcuiobroker]

Ja, aber wenn man bei http bleibt kann man keine Pin / Passwort für jarvis nutzen. (in v3.1.8 konnte man es noch)

Und das möchten ja einige User, sei um die Anzeige / Konfiguration vor Kindern zu schützen oder Sontiges.

[Bernd9000]

Hab das jetzt auch getestet und es funktionierte mit Chrome, Edge und Firefox. Hab einmal bestätigt das ich trotzdem die Seite aufrufen möchte und das blieb bei allen drei Browsern gespeichert. Wenn dann cache/cookies gelöscht werden muß man es dann nochmal bestätigen. Als "unsicher" gilt hier soviel ich weiß immer das selbst signierte Zertifikat. Da man ja weiß das das Zertifikat von einem selbst kommt ist alles i.O.

Chrome Beispiel:

[mcuiobroker]

Jetzt steht aber in der Adresszeile immer nicht sicher , oder? Wenn man darauf klickt, dann kommt der Hinweis, dass man dort keine Passwörter eingeben soll. Aber deswegen stell ich das Ganze doch ein.

[Bernd9000]

Ja, das steht dann immer in der Adresszeile bei selbst signierten...

[mcuiobroker]

Aber das irritiert doch den User, oder nicht. Ich stelle doch auf https um , damit die Passwörter sicher sind und bekomme dann die Nachricht, dass die Passwörter, die ich auf der Seite eingebe nicht sicher sind.

[Bernd9000]

Ja, das ist richtig. Das sollte dann in die Doku. Will man das vermeiden müssen öffentlich signierte Zertifikate her. Die dann auch noch erneuert werden müssen wenn Sie abgelaufen sind.

[mcuiobroker]

Ja, ich schreibe die Doku und hab davon keine Ahnung. Also das lässt hoffen.

[Bernd9000]

Oder Zefau müßte nochmal die Möglichkeit schaffen das eine PIN-Abfrage auch über http funktioniert. Oder selbst programmieren mit einer vorgeschalteten Startseite in der man das Passwort eingeben muß

[Zefau]

Auch bei selbst signierten Zertifikaten ist die Übertragung verschlüsselt und Pin bzw. Passwort nicht im Klartext. Das Risiko ist lediglich, dass ein Dritter unbemerkt das Zertifikat austauscht, da es nicht signiert und damit extern bestätigt ist.

Funktioniert alles wie es soll.

Lediglich die Meldung würde ich noch etwas expliziter machen, warum Jarvis ggf. die Einstellungen zurücksetzt, wenn https nicht richtig konfiguriert ist.

[mcuiobroker]

Bleibt noch das Problem von oben https://github.com/Zefau/ioBroker.jarvis/issues/2695#issuecomment-2198757969

Und einmalige PIN / Passwort Eingabe ist auch nicht ok, da man ja, wenn man es schon einrichtet, entsprechend schützen möchte. Da müsste es eine Möglichkeit mit der man es auswählen kann (speichern / oder nicht), oder auch eine zeitlich Begrenzung von 1 Minute oder so, in der es im Cache bleibt?

[mcuiobroker]

@Bernd9000 Kannst du mal schauen, ob ich alles drin hab in der Beschreibung. Danke, https://mcuiobroker.gitbook.io/jarvis-infos/jarvis-v3/besonderheiten-v3/instanz-einstellungen-v3.2.0

[Bernd9000]

Ja, sieht gut aus.

[mcuiobroker]

@Zefau Auch bei ioBroker-User bekomme ich nach dem Login die schwarze Seite und diese Fehler nach F5 kommt die Frontend Seite korrekt aber mit Warnung Mit F5 kann man den User nicht wechseln, man muss die Instanz neu starten, damit man den User wechseln kann

[mcuiobroker]

dabei ist mir aufgefallen, dass dann die Clients nicht neu gestartet werden. Im Browser LOG erscheint.

Nutzt man ein User ohne Admin-Rechte oder

bekomme jetzt auch das Wäre gut, wenn man erkennen könnte woher das Problem kommt oder welches Module und DP betroffen sind?

[mcuiobroker]

Problem sind auch Kameras mit camera-Adapter. Der stellt keine https zur Verfügung, obwohl das ja vom web abhängig sein sollte. Bei Iframe sollte das doch egal sein oder?

Hat sich erledigt, ich nutze dafür einen proxy -> iobroker.proxy https://mcuiobroker.gitbook.io/jarvis-infos/jarvis-v3/besonderheiten-v3/instanz-einstellungen-v3.2.0/proxy-fur-cameras

[mcuiobroker]

Dann habe ich mal ein Switch gesetzt, obwohl der User es ja nicht darf wird der Switch umgesetzt (false->true)

[mcuiobroker]

@zefau Soll ich die offenen Punkte mal in einzelne Issues setzen? Meldung direkt nach Connection

[Zefau]

sollte mit v3.2.0-beta.46 passen

[mcuiobroker]

Offene Probleme:

• Anmeldung in jarvis als User -> ok -> Seite wird neu geladen -> Scripte werden doppelt ausgeführt. -> Reload (F5) -> ok

• Ist man einmal als User X angemeldet, kann man sich nur "ummelden", wenn man die Instanz stoppt. Der erste User bleibt solange als angemeldeter User im Cache.

[Zefau]

Die Version v3.2.0-beta.67 sollte den Fehler beheben - bitte einmal prüfen. Sofern es behoben ist, gerne das Issue schließen.

---

The version v3.2.0-beta.67 should fix the bug - please verify. If the bug has been solved, you may close the issue.

[mcuiobroker]

Was wurde geändert? Wie kann man sich ummelden? Scripte können nicht getestet werden siehe #2757

[Zefau]

Logout button in der Sidebar

[mcuiobroker]

Keiner da?

[Zefau]

Aktiviert hast du es?

[mcuiobroker]

Wo?

[mcuiobroker]

Gefunden. Hatte es inzwischen deaktiviert

[mcuiobroker]

Wenn er ausgeschaltet ist wird Logout nicht angezeigt. Das sollte aber trotzdem sein?

[Zefau]

Die Version v3.2.0-beta.68 sollte den Fehler beheben - bitte einmal prüfen. Sofern es behoben ist, gerne das Issue schließen.

---

The version v3.2.0-beta.68 should fix the bug - please verify. If the bug has been solved, you may close the issue.