WebAuthN über mobile Biometrie

  • Affected Version
    WoltLab Suite 5.4

    Ich bin mir nicht sicher, ob das ein Fehler oder Absicht ist, allerdings kann ich WebAuthN nicht mittels Biometrie unter Android einrichten. Dies wird sofort mit einem Fehler quittiert:


    Sie haben den Zugriff auf den Sicherheitsschlüssel nicht (rechtzeitig) gestattet. Bitte stellen Sie eine neue Anfrage an den Sicherheitsschlüssel.


    Grundsätzlich funktionieren tut das aber, da ich das mindestens einmal irgendwo eingerichtet und verwendet habe.

  • Ich habe es gerade auch ausprobiert und bei mir funktioniert die Einrichtung mit der Biometrie unter Android. Nutze Android 11 und Chrome 90.0.4430.91.

    • Official Post

    Hallo,


    ich habe meine Display-Sperre unter Android 10, Chrome eben erfolgreich einrichten können. Ich konnte auch meinen NFC-YubiKey am Android erfolgreich zur Authentifizierung nutzen.


    SoftCreatR Hast du die Möglichkeit mit einem Debugger zu schauen was da passiert?


  • Code
    Uncaught (in promise) UserDeniedAccess
        at Registration.process (https://www.woltlab.com/js/WoltLabSuite/Core/Ui/User/Multifactor/Webauthn.js?t=1620214697:81:35)
        at async Registration.perform (https://www.woltlab.com/js/WoltLabSuite/Core/Ui/User/Multifactor/Webauthn.js?t=1620214697:45:32)
        at async Registration.onClick (https://www.woltlab.com/js/WoltLabSuite/Core/Ui/User/Multifactor/Webauthn.js?t=1620214697:65:13)
    WebAuthnError @ Error.js?t=1620214697:15
    UserDeniedAccess @ Error.js?t=1620214697:43
    process @ Webauthn.js?t=1620214697:81
    async function (async)
    onClick @ Webauthn.js?t=1620214697:65
    (anonymous) @ Webauthn.js?t=1620214697:21
    • Official Post

    Hallo,


    danke, das ist leider nicht besonders hilfreich, weil es letztlich genau das aussagt was ohnehin schon bekannt war: Der Browser hat gesagt, dass der Zugriff nicht erlaubt ist (DOMException mit name = "NotAllowedError").


    Um sicherzugehen, dass ich deinen Prozess richtig verstehe (ich nutze Biometrie auf meinem Telefon nicht):

    • Du tippst den Button zum Verbinden an.
    • Du bekommst vom Chrome das Overlay aus Screenshot 1?
    • Du wählst dort die System-Displaysperre (bei mir ist das die PIN) oder ist das ein separater Punkt?
    • Du legst deinen Finger auf den Fingerabdruckleser?
    • Du siehst die Fehlermeldung statt eines Erfolgs?
  • Du tippst den Button zum Verbinden an.
    Du bekommst vom Chrome das Overlay aus Screenshot 1?
    Du wählst dort die System-Displaysperre (bei mir ist das die PIN) oder ist das ein separater Punkt?
    Du legst deinen Finger auf den Fingerabdruckleser?
    Du siehst die Fehlermeldung statt eines Erfolgs?


    Nein. Ich tippe auf den Button zum Verbinden und erhalte sofort die Fehlermeldung.


    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.

  • Hallo,


    ich habe meine Display-Sperre unter Android 10, Chrome eben erfolgreich einrichten können. Ich konnte auch meinen NFC-YubiKey am Android erfolgreich zur Authentifizierung nutzen.


    SoftCreatR Hast du die Möglichkeit mit einem Debugger zu schauen was da passiert?

    Unter Andriod 12 konnte ich ebenfalls beides nutzen, Biometrie sowie Yubikey. (Chrome Browser)

    • Official Post

    Hallo,


    • Du debuggst mit einem Brave. Ist es ein mobiler Chrome oder ein anderer Browser auf deinem Android?
    • Falls es kein mobiler Chrome ist: Funktioniert es im mobilen Chrome?
    • Hast du möglicherweise (versehentlich) in den Einstellungen des Browsers oder des Androids irgendwelche (Privatsphäre-)Berechtigungen entzogen?
  • Du debuggst mit einem Brave. Ist es ein mobiler Chrome oder ein anderer Browser auf deinem Android?


    Auf dem Mobilgerät läuft auch Brave.


    Falls es kein mobiler Chrome ist: Funktioniert es im mobilen Chrome?


    Teste ich später. Ist nämlich nicht installiert ^^


    Hast du möglicherweise (versehentlich) in den Einstellungen des Browsers oder des Androids irgendwelche (Privatsphäre-)Berechtigungen entzogen?


    Zumindest sind die erweiterten Sicherheitsfunktionen (Cookies blocken, Fingerprinting blocken, Tracker blocken) für WL deaktiviert. Ansonsten kann ich auf Anhieb keine besondere Option finden, die das verursachen könnte.

  • Habe ich bereits gestern getan. Dort habe ich es ebenfalls nicht zum laufen bekommen, allerdings auch keine Fehlermeldung erhalten. Deswegen habe ich auch Brave in Verdacht, wüsste aber nicht, woran es liegen sollte. Denn WebAuthN wird von Brave genauso unterstützt, wie von Chrome.

    • Official Post

    Hallo,

    allerdings auch keine Fehlermeldung erhalten.

    die Seite scheint Fehler geflissentlich zu ignorieren. Ich habe es gerade am Rechner mit YubiKey + Firefox getestet und die Anfrage mit einem „Cancel“ quittiert. Auf der Seite passiert einfach nichts.


    Es gibt auch noch diese Seite direkt von Yubico: https://demo.yubico.com/webauthn-technical/registration

    Deswegen habe ich auch Brave in Verdacht, wüsste aber nicht, woran es liegen sollte.

    Es deutet ganz stark darauf hin. Ich habe das Thema schon einmal entsprechend gelabelt, kann bei neuen Erkenntnissen aber noch einmal das Label anpassen.

  • Ich habe das gleiche Problem mit Brave Mobil.

    Am Desktop macht der Browser es.


    Witzigerweise habe ich mit Brave unter Windows keine Probleme. Und der ist wesentlich restriktiver eingestellt (und mit Erweiterungen versehen), als mobil.

  • Es gibt eine Whitelist von Google, auf die eine Anwendung gesetzt werden muss, damit sie die entsprechende API überhaupt nutzen darf. Ich weiß natürlich nicht, ob das das Problem mit Edge ist, und es ist auch eher unwahrscheinlich, denn das sollte für einen Konzern wie Microsoft ja kein Hindernis sein. Ich will damit nur sagen: Dass ein Browser auf Chromium basiert, bringt nicht automatisch auch WebAuthn-Unterstützung. Das ist mit Firefox die gleiche Geschichte, weswegen der Firefox von F-Droid beispielsweise kein WebAuthn unterstützen wird, während es (die Nightly-Version von) Firefox selbst eigentlich unterstützt.

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)