Warp2: Passwort zurückgesetzt oder durch Firmware unbrauchbar?

[binderth]

Ich habe vor ein paar Wochen auf die neueste Firmware 2.1.5 geupdatet. Seither war ich nicht mehr auf der Box.

heute wollte ich den MQTT-Server ändern, weil ich aufgeräumt hatte. Dabei ist mir aufgefallen, dass ich mich nicht mehr einloggen kann. Ein vergessenes Passwort kann ich ausschliessen, weil ich einen Passwort-Manager verwende.

Kann der Warp2 das Passwort ohne mein Zutun ändern, bzw. "vergessen" oder kann es sein, dass durch das Update auf 2.1.5 mein Passwort, das u.a. Sonderzeichen wie ":" oder "." und "!" enthält nicht mehr korrekt geprüft werden kann? (natürlich kann ich auch einen Hack auch nicht ausschließen, aber mein System ist recht sicher, ich habe sonst keine Auffälligkeiten im Netz)

bearbeitet December 18, 2023 at 19:16 von binderth

[binderth]

Es ist offensichtlich ein Bug mit chromium-Edge. wenn ich mit einem anderen Browser mich einlogge, klappt es, nur mit dem Edge Version 120.0.2210.77 (Offizielles Build) (64-Bit) klappt es nicht.

[MatzeTF]

Enthält dein Passwort zufällig deutsche Sonderzeichen wie ä, ö, ü, ß oder €? Microsoft-Browser sind leider nicht dafür bekannt, sich gut an Standards zu halten. Falls dein Passwort entsprechende Zeichen enthält, wäre meine Vermutung, dass Edge Passwörter nicht als UTF-8 codiert, wie das alle anderen Browser machen und alle Webseiten erwarten. Sonderzeichen wie !<>=&?()-:@+%"';_[]^\/{}*#$|~` sollten keine Probleme verursachen, da sie im ASCII-Zeichensatz enthalten sind, was eine Untermenge von UTF-8 ist. Ansonsten sind natürlich A-Z, a-z und 0-9 erlaubt. Alles andere, wie die Umlaute, kann Probleme verursachen und sollte nicht in Passwörtern verwendet werden.

[binderth]

das höre ich jetzt ehrlich gesagt zum allerersten Mal und ich habe 444 Passwörter in meinem Passwort Manager und arbeite seit über 25 Jahren mit Entwicklern zusammen. Den Inhalt eines Input-Feldes per POST zu übermitteln ist so ziemlich das älteste, was man per HTML machen kann.

nein, das ist ein Problem sollte in der Umsetzung liegen. Entweder ist da ein neues(!) JavaScript dazwischen auf Client-Seite, welches dann zugegeben bei IE *hust* Edge sich verschluckt aber mein Passwort enthält keine deutschen Sonderzeichen, sondern nur wie beschrieben alphanumerische "latin1" Zeichen und eben ":" und "." sowie "!".

PS: das Passwort wurde am 18.09.2023 von mir zuletzt geändert und seither konnte ich mich auch mit dem Edge einloggen.

PPS: kann natürlich sein, dass die chromium Variante 120.0.2210.77 einen Bug hatte, weil mein chrome die Version 120.0.6099.110 trägt.

[MatzeTF]

On 12/19/2023 at 1:55 PM, binderth said:

das höre ich jetzt ehrlich gesagt zum allerersten Mal und ich habe 444 Passwörter in meinem Passwort Manager und arbeite seit über 25 Jahren mit Entwicklern zusammen. Den Inhalt eines Input-Feldes per POST zu übermitteln ist so ziemlich das älteste, was man per HTML machen kann.

Dann reicht es wahrscheinlich, wenn ich dich darauf hinweise, dass die Benutzeranmeldung der Wallbox kein POST verwendet, sondern HTTP Digest Authentication, bei der UTF-8 erwartet wird. 😉 Da (deutsches) Windows an vielen Stellen immer noch CP-1252 als Zeichensatz verwendet, war das auch nur eine spontane Vermutung meinerseits, die zumindest in diesem Fall nicht relevant war.

On 12/19/2023 at 1:55 PM, binderth said:

PPS: kann natürlich sein, dass die chromium Variante 120.0.2210.77 einen Bug hatte, weil mein chrome die Version 120.0.6099.110 trägt.

Wir haben leider keine Version 120.0.2210.77 da und haben auch sonst noch nicht von Problemen gehört. Da HTTP Basic Auth komplett browserseitig berechnet wird, weiß ich gerade auch nicht, wie wir das debuggen können, da ein anderer Browser bei dir funktioniert und es somit auch wallboxseitig funktioniert. Wäre nett, wenn du das im Blick behalten könntest, wenn es eine neue Edge-Version gibt.

[binderth]

der Edge in aktuellerster Variante vom 14.12.2023 ist doch 120.0.2210.77? https://learn.microsoft.com/de-de/deployedge/microsoft-edge-relnote-stable-channel

ansonsten lass ich es wissen, was bei einem Update passiert.

Am 19.12.2023 um 14:22 schrieb MatzeTF:

Dann reicht es wahrscheinlich, wenn ich dich darauf hinweise, dass die Benutzeranmeldung der Wallbox kein POST verwendet, sondern HTTP Basic Authentication, bei der kein Encoding angegeben werden kann und deswegen fast überall von UTF-8 ausgegangen wird. 😉 Da (deutsches) Windows an vielen Stellen immer noch CP-1252 als Zeichensatz verwendet, war das auch nur eine spontane Vermutung meinerseits, die zumindest in diesem Fall nicht relevant war.

hatte mir das nicht genau angesehen, und alle mein Passwörter bestehen aus mindestens einem oder eben mehr Sonderzeichen, manche auch aus deutschen Umlauten. Ich habe nur sehr selten mal dasselbe Passwort zweimal verwendet.  😀

[MatzeTF]

Ich konnte einen Windows-PC auftreiben und habe den Login mit Edge 120.0.2210.77 und Warp2 2.1.5 getestet, konnte dein Problem allerdings nicht reproduzieren. Als Passwort habe ich per Firefox „abcd!:.abcd“ gesetzt und konnte mich mit Edge problemlos einloggen.

Du könntest testweise dein Passwort auf „abcd!:.abcd“ ändern und es dann nochmal probieren. Funktioniert es dann, hat dein eigentliches Wallbox-Passwort irgendeine Eigenschaft, mit der Edge in der aktuellen Version nicht zurechtzukommen scheint. Funktioniert es nicht, habe ich aktuell auch keine Idee.

[binderth]

mit diesem Passwort klappts auch nicht. Mein Passwort lautet(e): 0Hdq0mlLC:.4

und damit sollte es eben im Edge nicht klappen...

Kann sein, dass es ein "Edge-Case" (haha) ist, ich weiß auch nicht, warum gerade dieses nicht klappt

[MatzeTF]

Kannst du bei einem Login-Version den Traffic zwischen PC und Wallbox mit Wireshark mitschneiden und uns zukommen lassen? Wir können dann die Berechnungen nachvollziehen und herausfinden, an welcher Stelle irgendwer falsche Daten schickt.

Ansonsten müssen wir noch deinen Benutzernamen kennen, da der mit in die Berechnung einfließt. Falls du den nicht öffentlich posten willst, kannst du mir auch eine private Nachricht schicken.