[SOLVED] Frage zur Arbeitsweise des Proxmox Login und der 2FA

J

jim_os

Active Member
Oct 8, 2022
205
64
33
Germany
Vorhin hat sich bei mir mein PC aufgehangen mit dem ich gerade per Chrome im WebGUI von Proxmox eingeloggt war. Parallel dazu war ich über Chrome auch noch im WebGUI von Home Assistant eingeloggt. Sowohl bei Proxmox als auch bei Home Assistant ist 2FA aktiviert.

OK also PC neu booten und Chrome wieder starten. Dann bietet Chrome ja an - weil halt nicht korrekt beendet - die vorher geöffneten Seiten wieder zu öffnen. Wenn man das dann macht wird die Proxmox WebGUI wieder geöffnet ohne das man sich per Name, Passwort und 2FA einloggen muss.
Bei Home Assistant ist es z.B. so - wie ich es auch erwarten würde - das man erst wieder seinen Usernamen, das Passwort und im Anschluss die 2FA eingeben muss, erst dann ist man wieder bei Home Assistant eingeloggt.

OK ich bin diesbezüglich kein Experte und wahrscheinlich läuft das über (Session-)Cookies, aber ist das Verhalten bei Proxmox so gewollt, bzw. was läuft da bei Home Assistant anders?

Bei einer kurze Suche nach Cookies und 2FA habe ich z.B. das gefunden: https://news.sophos.com/en-us/2022/08/18/cookie-stealing-the-new-perimeter-bypass/

VG Jim
 
Last edited:
Ja, ein PVE Ticket gilt immer fuer (bis zu) 2h und wird beim Verwenden des Webinterface mittels Cookie gepseichert. Das Webinterface holt sich (wenn ich mich richtig erinnere) alle 15 Minuten ein Neues (abgesichert durch das noch gueltige aktuelle Ticket). Das Cookie wird dabei als Session-Cookie gespeichert, sollte also vom Browser eigentlich beim Schliessen geloescht werden - das kann aber natuerlich unter Umstaenden auch vom Browser ignoriert werden (z.b., wenn das "Session Restore" Feature an ist und die gecrashte Session wiederherstellt, wie in deinem Fall..).

Der einzige Unterschied zwischen mit und ohne TFA ist in dem Fall, dass fuer das Ausstellen des initialen Tickets bei TFA zwei Faktoren notwendig sind, und das Passwort alleine nicht ausreicht.

Was genau HA anders macht kann ich dir nicht sagen - eventuell kuerzere Gueltigkeit am Session-Ticket? Noch irgendein anderer, nicht-Cookie State der an den Server geschickt werden muss damit die Session erhalten bleibt?
 
  • Like
Reactions: jim_os
Hallo Fabian,

danke für die Infos. Hätte ich nicht parallel Proxmox und HA bei Chrome offen gehabt wäre mir der Unterschied wahrscheinlich gar nicht aufgefallen, bzw. ich hätte nicht darüber nachgedacht. :) So hat mich das unterschiedliche Verhalten halt gewundert, insbesondere warum eine 2FA so einfach "ausgehebelt" werden kann.

VG Jim
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom