Однако... это ломает приложение SecSpy для iOS. Я знал об этом заранее. На данный момент это не проблема, поскольку у меня также есть точка входа Tailscale.

В ходе беседы с ИИ на тему «Как SecSpy может поддерживать Okta?» я получил следующую информацию:

Вариант 1: «Золотой стандарт» решения (поддержка OIDC)

Запрос: «Пожалуйста, добавьте поддержку аутентификации OIDC (OpenID Connect) или OAuth2ASWebAuthenticationSession на iOS».

Как это работает:

1. Вместо ввода имени пользователя/пароля в приложение, оно обнаруживает перенаправление Cloudflare/Okta.
2. Приложение открывает защищенное окно системного браузера (это компонент iOS, называемый ASWebAuthenticationSession).
3. 
   
4. В этом окне вы увидите фактическую страницу входа в Okta, выполните FaceID/Push-уведомление и получите авторизацию.
5. Окно браузера закрывается и возвращает приложению Security Spy токен сессии (Cookie).
6. Приложение прикрепляет этот токен к каждому последующему запросу видео.

Примечание: Так работают системы единого входа (SSO) в таких приложениях, как Slack, Zoom и Google Drive.

Вариант 2: Более простое решение (сервисные токены)

Запрос: «Пожалуйста, разрешите пользователям определять пользовательские HTTP-заголовки в настройках подключения к серверу».

Как это работает:

1. В Cloudflare вы генерируете сервисный токен (специальный логин/пароль, предназначенный для ботов, а не для людей).
2. 
   
3. Этот токен состоит из двух длинных строк: CF-Access-Client-Idи CF-Access-Client-Secret.
4. Если бы в приложении Security Spy было поле "Добавить пользовательские заголовки", вы бы вставили туда эти две строки.
5. Cloudflare видит эти заголовки и сообщает: «О, это авторизованное приложение», полностью минуя экран входа в Okta.

Решение, которое вы можете использовать СЕГОДНЯ (обход "варп-пространства")

Поскольку вы не можете заставить Ben Software переписать свое приложение в эти выходные (😅 Примечание: я никогда не предлагал ИИ переписать Security Spy в эти выходные) , вы можете решить эту проблему прямо сейчас, используя уже имеющийся у вас инструмент: Cloudflare WARP .

Вы упомянули ранее, что рассматривали WARP (Вариант 2), но пропустили его. Вот пример его применения.

Логика: Вместо того чтобы заставлять приложение аутентифицироваться в Okta, вы заставляете свой телефон аутентифицироваться в Okta (через VPN), и тогда приложение получает бесплатный доступ.

1. Установите приложение "Cloudflare One" (WARP) на свое устройство iOS.
   • Войдите в приложение: перейдите в Настройки > Аккаунт > Войти с помощью Cloudflare Zero Trust.Введите домен вашей команды.
   • Вам будет предложено пройти аутентификацию через Okta (используя ваше правило FaceID).
2. Результат: Ваш телефон теперь находится «внутри» вашей защищенной сети.
   • Объездная дорога:В панели управления Cloudflare (Zero Trust) создайте политику обхода для вашего приложения Security Spy.
   • Действие: Обход.
   • Включите: "WARP" (или "Gateway").
   • Перевод: «Если пользователь уже авторизован в VPN-сервисе WARP на своем телефоне, не просите его повторно авторизоваться на веб-сайте».

Исход:

• Веб-браузер: по-прежнему защищен Okta.
• Приложение для слежки за безопасностью: работает мгновенно, потому что клиент WARP на вашем телефоне обрабатывает подтверждение личности в фоновом режиме. Вы получаете безопасность Okta без необходимости поддержки этой технологии приложением.

Я дополнительно уточнил у ИИ стоимость/сложность OIDC. Ответ:

------------

Финансовые затраты: нулевые. OpenID Connect (OIDC) — это открытый стандарт. Apple, Okta и любые другие регулирующие органы не несут никаких лицензионных сборов за его внедрение.

Стоимость разработки (время и трудозатраты): от средней до высокой. Для одного разработчика или небольшой команды (например, Ben Software) «стоимость» полностью сводится ко времени и сложности.

Вот почему они этого ещё не сделали:

• Проблема «замены движка»: В настоящий момент приложение Security Spy, скорее всего, использует HTTP Basic Auth . Всё просто: каждый раз, когда оно запрашивает видеокадр, оно отправляет username:passwordзаголовок. OIDC — это конечный автомат . Приложение должно:Обнаружено, что требуется авторизация.
• Приостановите запрос на видео.
• Откройте окно браузера.
• Дождитесь кода обратного вызова.
• Обменяйте этот код на "токен".
• Надежно сохраните этот токен в связке ключей iOS.
• Прикрепляйте этот токен к каждому будущему запросу.
• Самая сложная часть: отслеживать, когда истекает срок действия этого токена (обычно каждый час), и незаметно использовать «токен обновления», чтобы получить новый, не напоминая пользователю об этом.

1. Для этого требуется переписать весь сетевой уровень приложения. Это не просто добавление функции; это изменение внутренней структуры.
2. «Нишевый» фактор: большинство пользователей Security Spy — это домашние пользователи, которые просто настраивают переадресацию портов или используют встроенный в Ben сервис DDNS. Пользователи, подобные вам, которые устанавливают коммерческий поставщик идентификационных данных с нулевым доверием (Okta + Cloudflare) перед системой видеонаблюдения на Mac Mini, составляют 1% лучших из 1%.

Если он добавит возможность вручную вставлять статический API-токен (например, упомянутый ранее токен службы Cloudflare) в настройки приложения, это, вероятно, займет у него около часа. Полная поддержка OIDC, скорее всего, потребует серьезной переработки кода. Запрос на добавление "пользовательского заголовка" с гораздо большей вероятностью получит положительный ответ.

@Ben что ты думаешь?😁

1. Рассматривали бы вы возможность использования LE для получения сертификатов для домена пользователя?
2. Я могу загрузить certbot с помощью Homebrew и получить сертификаты для своего домена таким образом. Когда сертификат автоматически продлевается - есть ли способ заставить SS перезагрузить веб-сервер новыми? Например, используя опцию certbot '--renew-hook'.

Спасибо, Джеймс.

Я знаю, что эта семья печально известна своими грязными делами: у одного из братьев был GPS-трекер на машине его бывшей девушки.

Как мне найти эту вещь или успокоить себя, если ее там нет? Я искала ее в сети здесь, в Москве, и компании хотят около 50000 рублей.

Я знаю, больше никаких обсуждений в машине, но что, если там есть GPS-трекер? Мне действительно нужно его найти прослушку, я действительно верю, что жучок там. У моего парня Mercedes 2008 года, если это поможет с точки зрения электроники и т. д.

Заранее спасибо за помощь.

Недавно я настроил второй mac, на котором запущен SecuritySpy mac client в режиме «только просмотр», как описано в руководстве. Основной мотивацией для этого было позволить менеджерам просматривать записанные кадры в режиме «браузера» без необходимости использования «основного» mac, на котором фактически запущен SS. Я только после этого увидел, что в руководстве говорится, что «этот метод удаленного просмотра позволяет вам получать доступ только к живому видео с сервера, а не к записанным файлам», что разочаровывает.

У меня два вопроса:

1) Почему введено это ограничение?

2) Могу ли я сделать запрос на функцию, позволяющую SS в режиме «только просмотр» использовать вид браузера для просмотра ранее записанных материалов на временной шкале, как это можно сделать на (основном) компьютере Mac, на котором работает SS?

Веб-интерфейс и приложение для iOS великолепны, но они все еще не обеспечивают плавного и гибкого просмотра исторических кадров, как в браузере клиента SS для Mac.

Спасибо, Бен. Продолжай замечательную работу с SS!

-Линкольн

у меня есть 2 камеры Hikvision DS-2CD2142FWD, обе отлично работают уже 12 месяцев. Одна из них решила отключиться и больше не включается. Я перепробовал все, но получаю только сообщение «Неправильное имя пользователя или пароль», хотя они верны. Камера работает, потому что я могу получить к ней доступ через браузер и войти с тем же паролем и именем пользователя.

Есть идеи, спасибо,

Крис