Hallo Michael,
es wäre super, wenn du auch mal ohne Proxy testen könntest, ob das Problem mit den Profilen reproduzierbar ist (das werde ich auch mal tun). Das darf nämlich wie du sagst auf keinen Fall sein und wir wollen definitiv schauen wo das passiert. Welchen Reverse Proxy hast du denn? Du sagst ja, dass du Caching überprüft hast aber am „Sichersten“ wäre es das nochmal zu überprüfen ohne Proxy. Dann eben per http mit einem Skript oder mehreren Anwendern wie gestern.
Bezüglich des Basic Auth. Ja da haben wir bereits eine Änderung in der Pipeline. Die App kann mittlerweile Public Key und übermittelt dem aktuellen Dev Server den Public Key einmal (mit diesem Hash wie aktuell) und nutzt fortan nur noch signierte Tokens, um zu zeigen, dass es wirklich die App ist.
Das haben wir also auf dem Schirm. Serverseitig liegen die Passwörter mit Argon2id dem aktuell empfohlenen Passworthashing von OWASP in der DB gespeichert und mit Public Key soll zukünftig auch die Handyapp schöner gelöst sein.
Man muss hier aber auch sagen, dass jemand dein Handy klauen müsste und den Hash rückrechnen muss um ans Plaintext Passwort zu kommen oder du musst http nutzen und jemandem im Netz haben der Snifft und so den Hash sieht. Es ist also auch wenn wir das aktuell umstellen, weil wie du selber gesehen hast, es nicht optimal ist, noch einiger Aufwand damit verbunden da ran zu kommen und ich würde behaupten im aktuellen Threat Model von meiner Organisation klaut keiner das Handy und versucht da aus der App meinen Hash zu finden (zumal das Handy gerootet sein müsste).
Wie du aber sagst ist das nicht optimal und deswegen haben wir das bereits angefangen umzubauen und es ist so schon im Dev Stand.
Die Problematik ist aber natürlich bei uns auch, dass wir nicht zentral einfach ein paar Feature Switches aktivieren und alle haben nun eine neue Version. Deshalb wird da auch die Umstellung für alle ein wenig dauern. Du kannst das aber dennoch natürlich dann direkt bei dir im THW nutzen, sobald es released ist oder bereits jetzt mit dem Dev Container (latest-beta auf Dockerhub) und App Version 1.6
Viele Grüße