Paperless Mobile (Android) 2FA wird umgangen

Hallo zusammen,

ich habe mir grade die Paperless Mobile App auf meinem Android Smartphone installiert.
Bei der Anmeldung kam ich ohne 2FA zu meinen Dokumenten, wie kann das möglich sein?
Ich nutze die integrierte 2FA von Paperless.
Hat jemand eine Idee oder gehört das womöglich so?

Thomas

am besten direkt den Entwickler mitteilen, dann können die danach schauen :slight_smile:

Die App nutzt die API von paperless über einen Token. Der ist von der 2FA ausgenommen, wenn ich mich recht erinnere.

Okay danke für den Hinweis.
Ich habe auch etwas bei github gefunden:
https://github.com/paperless-ngx/paperless-ngx/discussions/8791

und hier wurde wohl daran gearbeitet:
https://github.com/paperless-ngx/paperless-ngx/pull/8792

Ich verstehe jetzt aber ehrlich gesagt nicht ganz was da gemacht wurde und ob ich was machen muss :face_with_raised_eyebrow:

Die App nutzt wohl die basic authentication über die REST API, die paperless zur Verfügung stellt. Hier wird im Header der Anfrage ein base64 kodierter Text aus Benutzername und Passwort an den API Endpoint gesendet, um dich zu authentifizieren.

Aktuell ist es laut der von dir gelisteten GitHub Issues wohl so, dass auch für Nutzer mit aktivierter 2FA die Basic Authentication unterstützt wird.

Über den Webzugriff wird dennoch immer der zweite Faktor abgefragt.

Das heißt ja im Umkehrschluss, jeder der die App verwendet oder vorgibt sie zu verwenden kann 2FA umgehen. Dann kann man das ja auch gleich lassen.

aktuell wird die Version 2.15.0 als Beta Version getestet. Dort sind 71 änderungen, also die Entwickler sind echt auf Zack. Ich denke die Lücke wird noch geschlossen

Okay, dann hoffen wir auf ein baldiges Release :wink:
Wobei ich zu dem Thema auf die Schnelle nichts entdeckt habe. :thinking: