OpenWB remote URL mit 2.0

[gorthon]

Muss ich euch wirklich erklären, warum es nicht sicher ist, Username und Passwort als GET-Parameter einer URL zu übergeben? Und noch unsicherer, das als Bookmark zu speichern, und nochmal unsicherer, diesen Bookmark irgendwo hinzulegen? Wer ist denn bei euch für IT Security zuständig? Macht mir ehrlich gesagt Sorgen, dass solche Basics bei euch nicht bekannt zu sein scheinen und/oder nicht für wichtig gehalten werden.

Wenn du unter Remote.openWB.de deine Daten eingibst, oder dein Pw Manager die ausfüllt, wird natürlich nichts per GET übertragen.

Ich wollte dir nur einen Weg zeigen um den einen extra Klick zu vermeiden.

Klar funktioniert das, aber das Problem ist, dass man sich da jedes Mal neu einloggen muss. Warum kann an dieser Stelle der Login nicht per Cookie für eine längere Zeit, am besten ein paar Monate, gespeichert werden?

Außerdem kann ich remote.openwb.de nicht als PWA auf dem Handy installieren, das geht nur mit der URL, auf die man nach dem Login weitergeleitet wird und die leider immer mal wieder wechselt. Eine PWA zu installieren macht aber nur Sinn, wenn die URL gleich bleibt.

Unter 1.9 ging das alles.

Oder wie wäre das: Erstellt einfach eine native App, die nichts weiter macht, als die PWA aufzurufen und sich um Login sowie die wechselnde remote-URL zu kümmern, und packt sie für ein paar Euro in Play Store und App Store. 95% davon habt ihr doch bereits. Ihr könntet damit noch ein bisschen Geld verdienen und außerdem behaupten, dass ihr jetzt eine App habt (kräht nämlich kein Hahn nach, dass die im Prinzip nur die PWA aufruft, sogar in einem c't-Test bekommt man damit einen Haken bei "App vorhanden").

[openWB]

@all
Bitte mal folgende URL in den Browser eingeben:
https://remote.openwb.de/directconnect.html

Zuerst diese als PWA auf dem Homebildschirm hinterlegen.
Nun einmalig einloggen.
Immer wenn diese URL aufgerufen wurden und Zugangsdaten hinterlegt sind erfolgt ein Autoconnect.

Ist das erstmal für die Usabilty besser?

[mrinas]

das probier ich gern mal aus.

[Gero]

Ich würde sagen, das funktioniert.
Allerdings ist die Meldung „Ungültige Anfrage“ auf großen, weißem Grund für ein ungültiges Login noch verbesserungswürdig.

[openWB]

Ich würde sagen, das funktioniert.
Allerdings ist die Meldung „Ungültige Anfrage“ auf großen, weißem Grund für ein ungültiges Login noch verbesserungswürdig.

War nur erstmal eine Idee. Ich warte dann nochmal ein paar Rückmeldungen ab.

[gorthon]

Das Installieren als PWA funktioniert mit https://remote.openwb.de/directconnect.html nicht, da diese Seite keine PWA ist, sondern eine "normale" Webseite. Die Browser bieten daher gar nicht an, das zu "installieren", man kann nur eine Verknüpfung anlegen, die die Seite dann im Browser öffnet und nicht als PWA.

@mrinas / @Gero: Oder wird bei euch das "Installieren" angeboten auf der remote.openwb.de (im nicht eingeloggten Zustand, denn sobald man sich einloggt, wird man ja umgeleitet auf eine URL, die nicht dauerhaft gleich bleibt).

@openwb: Der Ansatz ist sehr gut und ersetzt auf jeden Fall schon die Variante mit Username und Passwort in der URL. Jetzt müsstet ihr nur noch die Seite mit dem Login-Formular zur PWA machen, so dass man sie auch installieren kann. Siehe z.B. https://blog.heroku.com/how-to-make-progressive-web-app (aber ihr wisst ja vermutlich, wie das geht, die Hauptseite der openWB ist ja auch eine PWA). Schonmal danke für die schnelle Reaktion!

[Gero]

@mrinas / @Gero: Oder wird bei euch das "Installieren" angeboten auf der remote.openwb.de (im nicht eingeloggten Zustand, denn sobald man sich einloggt, wird man ja umgeleitet auf eine URL, die nicht dauerhaft gleich bleibt).

Ich habe da nur draufgeklickt und der Browser merkt sich schon, dass eine Anmeldung erfolgt ist. Das einfache Anlegen einer „Verknüpfung auf dem Home-Screen“ scheitert ja an dem redirect. Aber wahrscheinlich gibt es irgendwelche Dinge, die eine Webseite setzen kann, damit das besser gelingt. Wahrscheinlich ist es das, was du mit „die Seite ist keine PWA“ meinst. (Bin halt kein webentwickler)

Auf meiem Handy habee ich einen Safari-Link, wie ich den weiter oben mal gepostet hatte. Dass da user/pw drinstehen, stört mich nicht allzusehr, da ich mein Handy genauso entsperre, wie ich den Passwort-Manager entsperre und mein Handy nicht entsperrt rumliegt. Und darüber hinaus ist ja genau dieser user/pw (zumindest aktuell noch) jedem offenbar, der Zugang zu meinem LAN hat. Aber ja, der reinen Lehre nach sind im Klartext gespeichette Passwôrter keine gute Idee.

Außerhalb dieses Threads, im normalen Leben gehe ich aber über VPN.

[gorthon]

Ich habe da nur draufgeklickt und der Browser merkt sich schon, dass eine Anmeldung erfolgt ist. Das einfache Anlegen einer „Verknüpfung auf dem Home-Screen“ scheitert ja an dem redirect. Aber wahrscheinlich gibt es irgendwelche Dinge, die eine Webseite setzen kann, damit das besser gelingt. Wahrscheinlich ist es das, was du mit „die Seite ist keine PWA“ meinst. (Bin halt kein webentwickler)

PWA ist eine Progressive Web App. Moderne Browser bieten an, diese zu "installieren" so dass Android sie z.B. ähnlich einer echten App behandelt. Nicht jede Seite ist eine PWA. Die Hauptseite der openWB ist eine, die Anmeldeseite von remote.openwb.de nicht. Daher kann letztere auch nicht installiert werden, man hat also nicht die Usability wie bei einer App, sondern nur einen weiteren Reiter im Browser.

Auf meiem Handy habee ich einen Safari-Link, wie ich den weiter oben mal gepostet hatte. Dass da user/pw drinstehen, stört mich nicht allzusehr, da ich mein Handy genauso entsperre, wie ich den Passwort-Manager entsperre und mein Handy nicht entsperrt rumliegt. Und darüber hinaus ist ja genau dieser user/pw (zumindest aktuell noch) jedem offenbar, der Zugang zu meinem LAN hat.

Da gibt es noch ganz andere Bedrohungsszenarien. Um nur mal an der Oberfläche zu kratzen: Dein Link (und damit deine Zugangsdaten) wird als Bookmark behandelt und unterliegt damit keiner besonderen Sicherheitsstufe, im Zweifel liegt er unverschlüsselt an mehreren Stellen auf deinem Handy. Safari synchronisiert ihn evtl. auch woanders hin. Beim Aufruf landet er in deiner Browser-History inklusive Passwort. Nur eine dieser Stellen muss erfolgreich angegriffen werden, z.B. durch malicious code auf einer dir vertrauten Webseite, die du selber mit dem Handy ansurfst.
Die Zugangsdaten öffnen über die openWB ein VPN zu deinem LAN, d.h. damit sind Zugriffe von außen auf dein LAN denkbar und wenn da einmal jemand drin ist, findet er wahrscheinlich andere unsichere Geräte bei dir im Netz, die er kompromittieren kann (z.B. Raspberry Pis, die nicht auf dem aktuellen Stand gehalten werden

[Gero]

Vielen Dank für die Erläuterungen. Ja, ich habe das testweise als Bookmark gemacht und nicht als „Zum Homebildsxhrim“. Und bei der PWA kann man bei iOS zwar den Namen, nicht aber den URL ändern, wie ich eben feststellen musste. Auf dem Home-Screen mit user/pw geparkt, wäre es meiner Argumentaion nach kein so großes Problem, denn die bleiben ja lokal auf dem Handy. Als bookmark im Browser ist es ein Problem, da hat du vollkommen Recht.

Was ich nicht songanz nachvollziehen kann, ist die Gefährdung durch das aufgebaute VPN. Dem Browser ist es ja eigentlich egal, wie der böse Code in die darzustellende Webseite kommt. Und die Möglichkeit des user/pw geht aus dem coding der Seite remote.openwb.de hervor. So hab ich‘s ja herausgefunden) Sollte die durch Kenntnis von user/pw aufgebaute VPN-Verbindung so viel unsicherer sein?

Das sind aber alles nur theoretische Überlegungen. Was wirklich funktionieren muss, ist die Browser-Funktion „zum Homebildschirm“. Und die funktioniert nun mit dem generierten Host. Das habe ich eben ausprobiert, Ich habe xyz.cnode02.openwb.de nun als PWA und die überlebt auch einen safari-neustart. D.h. hostname xyz ist nun für mein Tupel aus user/pw erstellt worden. Wir lange bleibt der wohl aktiv?

Edit: ich habe xyz…. mal eben in Chrome aufgerufen und es funktioniert. Wenn man nun xyz…. als bookmark abspeichert und das „verloren“ geht, hat jeder mit Kenntnis dessen Zugang zu meiner openWB. Auxh ganz ohne Kenntnis von user/pw. Ist das nun so viel besser?

[openWB]

@gero
Das ist nur temporär. Den Link abzuspeichern macht keinen Sinn.