Hallo,

ich habe über Jahre JD1 genutzt und habe nun dummerweise auf dem Update-Button für JD2 Beta geklickt. JD2 läuft zwar, aber mein Webinterface auf Port 8765 ist weg. :(
Gibt es das lokale Webinterface noch? Kann man irgendwie auf JD1 wieder downgraden? Es startet leider nicht mehr und sagt nun nur, dass man JD2 nutzen soll :(

Hintergrund: Ich habe JD1 seit jeher auf einen lokalen bildschirmlosen Linuxserver im Heimnetz unter Xvfb am laufen. Ich kann mich zwar (sehr langsam/träge) über x11vnc dorthin verbinden, aber wir nutzen gemeinsam fast nur das Webinterface.

Danke im Voraus,
Kermit

[Jiaz]

Für JDownloader 2 gibt es https://my.jdownloader.org und die entsprechende API.
JDownloader 2 läuft komplett headless /ohne X11/VNC und kann via MyJDownloader über den Browser/BrowserExtensions oder Smartphone von überall bedient werden.
Ein lokales Webinterface von uns ist derzeit nicht geplant, aber jeder kann durch die offene API selbst eines entwickeln.

Danke für die Klärung. Ein externer Server ist für mich leider keine Option.

Gibt es eine Downgrade-Möglichkeit, um JD1 wieder ans Laufen zu bringen? Und gibt es eine Möglichkeit, den Update-Button auf JD2 in JD1 auszublenden?

[pspzockerscene]

Das könnte klappen:
https://board.jdownloader.org/showth...ht=nojd2update

Bedenke, dass die JD1 Plugins *irgendwann* den Geist aufgeben werden - dann ist dieser quasi unbenutzbar.

Grüße, psp

[Jiaz]

Zunächst mal bietet MyJDownloader eine echt End-zu-End Verschlüsselung (SessionTokens,AES,RequestIDs, wechselnde Schlüssel). Dein Passwort verlässt NIE deinen PC. Sprich wähle ein sicheres Passwort und alles ist gut. Dann bietet MyJDownloader ebenfalls den Direct-Mode, sodass auch alle Daten direkt zwischen dir (dem Client) und JDownloader fließen. Siehe https://support.jdownloader.org/Know...anced-settings

Und es steht dir frei ein eigenes Webinterface an die API zu klemmen, dann kommt selbst das HTML/JS von der Quelle deines *Vertrauens*.

Quote:

Originally Posted by Jiaz

Sprich wähle ein sicheres Passwort und alles ist gut. Dann bietet MyJDownloader ebenfalls den Direct-Mode, sodass auch alle Daten direkt zwischen dir (dem Client) und JDownloader fließen.

Ich möchte ja eben gerade ÜBERHAUPT KEIN Passwort nutzen und so das Webinterface weiterhin von jedem Client im LAN erreichen, da ich eben nicht der einzige Nutzer bin. Zudem könnten reconnects oder offline Phasen der Online-Verbindung beim Zugriff Probleme bereiten (was aber eher nebensächlich ist).

[Jiaz]

Ich vergleiche einfach mal eben:

1.) Sicherheit:
JDownloader 1: -
-Jede Website/Tool kann auf deinen JDownloader verbinden und dort Aktionen durchführen
-Keine Verschlüsselung
-Nur Basic Auth

JDownloader 2: ++
-Echte End-zu-End Verschlüsselung
-Login via E-Mail/Password, danach Schlüsselpaar/Sessiontokens
-kein unautorisierter Zugriff

2.) Erreichbarkeit:
JDownloader 1: 0
-DynDNS und manuelles Portforwarding nötig

JDownloader 2: ++
-kein DynDNS/manuelles Portforwarding nötig
-automatisches Upgrade zum Direct-Mode sofern verfügbar/möglich

3.) Bedienbarkeit:
JDownloader 1: 0
-nur sehr primitive Möglichkeiten
-Webinterface only

JDownloader 2: ++
-Es gibt das Webinterface, Firefox/Chrome-Extension, Android/Windows Smartphone Apps, Windows 10 Apps, quelloffene Clients
-Umfangreiche Möglichkeiten. Remote Captcha, Linkverwaltung, Containerupload, erreichbarkeit der Einstellungen und vieles mehr

4.) Zukunft:
JDownloader 1: --
-wird nicht mehr gepflegt

JDownloader 2: ++
-MyJDownloader wird noch immer weiterentwickelt


Das mit dem Passwort ist kein Argument. Einmal eingeloggt müssen auch die anderen Nutzer nicht immer wieder einloggen! Und ein Reconnect verkraftet MyJDownloader ebenfalls transparent.

Aber das wichtigste zum Schluss: Wir zwingen die MyJDownloader nicht auf. Es steht dir frei den alten JDownloader weiterhin zu verwenden oder dir eigenen eigenen Client/Webinterface für die API zu coden.

So ich habe my.jdownloader.org getestet und für schlecht / fast unbenutzbar befunden.

1) Sicherheit: Es ist genau umgekehrt. Ob Verschlüsselung oder nicht: Wenn JDownloader mit Passwort über my.jdownloader.org von extern erreichtbar ist, hat man sich erstmal eine Eingangstür geschaffen, wo vorher keine war: Schlimmer noch: Es werden ja nur Accountdaten genutzt, die man vorher auf my.jdownloader registriert hat. Wenn jemand my.jdownloader.org hackt und an die Accountdaten gelangt, ist das eine massive Sicherheitslücke!

Das Webinterface von JDownloader1 ist von außen (natürlich korrekte Konfiguration des lokalen Rechers/Netwerks vorausgesetzt) überhaupt nicht erreichbar und somit überhaupt nicht angreifbar.


2) Erreichbarkeit von außen ist bei mir gar nicht gewünscht. Wenn ich aber wollte könnte ich JD1 natürlich auch per VPN oder einen SSH-Porttunnel von außen nutzen. Ich sehe aber momentan überhaupt kein Sinn darin von außen JDownloader nutzen zu wollen.


3) Das JD2 Webinterface mag zwar umfangreicher sein, ist bei mir aber total lahm. Zuerst muss immer das Passwort eingegeben werden, was schon mal Zeit kostet. Dann kommt eine nervige Captcha-Notification, die man offensichlich immer wegklicken muss, wenn man sie nicht nutzen will. Dann muss man auf den Server klicken, wobei er bei mir noch 10 Sekunden lädt, bis ich auf dem Interface bin. Und bei der Bedienung des Linksammlers sind nun auch mehr Klicks notwendig.

Die vielen Einstellmöglichkeiten im Gegensatz zum alten Webinterface, bieten nun auch die Gefahr viel 'kaputt' zu machen von weniger bewanderten Usern.

Das Passwort auf jedem Client im Browser selbst zu speichern birgt noch ein wesentlich größeres Risiko. Dann muss nur einmal die Daten eines Users gehackt werden, um an die Zugangsdaten zu kommen, die dann direkt von extern benutzt werden können.


4) Ja, schade das JD1 offenbar nicht mehr gepflegt wird. Leider wird alles, was mal einfach und übersichtlich war, immer komplizierter :(

[coalado]

Kermit00

Eigentlich gibt es zu dem Thema schon sehr viel zu lesen. Aber ich will trotzdem mal einiges klar stellen:

Uns ist klar dass My.JDownloader ein Kompromiss ist. Die Vorteile überwiegen unserer Meinung nach aber deutlich.

1) Wenn jemand my JDownloader hackt, hat er keine Zugangsdaten, weil unser Server deine Daten nicht hat. My.Jdownloader verwendet Zugangsschlüssel, die von deinem Passwort abgeleitet wurden. Dein Passwort kennen selbst wir nicht. Weiter werden über dein Passwort alle Daten verschlüsselt. D.h. Auch My.JDownloader sieht nicht was da rum geschickt wird.


2)
Dazu gibt gibt es wenig zu sagen, außer dass wir unseren Nutzern eben diesen Aufwand (VPN/Tunnels usw) ersparen wollten.

3)
3.1)Du kannst eingeloggt bleiben, dann musst du auch kein Passwort eingeben.
3.2)Captchas? My JDownloader reicht nur Captchas von JD ans Webinterface weiter. Das ist einer der Vorteile von My.JD gegenüber dem alten Webinterface. Außer bei der Registrierung, zweigt My.JD keine Captchas an. Ich kann also nicht nachvollziehen was du damit meinst.

3.3)Den Extra Klick vom Dashboard zum JD kann man sicher abkürzen. Da werden wir uns was einfallen lassen. My.JD kann mehrere JDownloader Installationen verwalten. Die meisten haben aber vermutlich nur einen. Dann macht das Dashboard wenig Sinn.

3.4)Einstellmöglichkeiten: Wir sehen das Webinterface als alternatives Frontend, und als solches soll es möglichst alle Funktionen vom normalen Frontend abbilden. Ich sehe keinen Sinn darin einen Webinterface Nutzer gegenüber einem normalen JD Nutzer einzuschränken.

3.5)Passwort am Client:
Das Passwort wird nicht am Client gespeichert. Kannst ja gerne mal versuchen das irgendwo zu finden. Man hat natürlich die Möglichkeit eingeloggt zu bleiben. Um diese Funktion zu ermöglichen muss man aber nicht zwingend dein Passwort speichern. Der ganze Login und Verschlüsselungsprozess ist übrigens offen gelegt. Wenn da jemand tatsächlich Schwachstellen findet, kümmern wir uns gerne darum.

4)
JDownloader ist umfangreicher geworden, weil wir auf sehr viel Feedback und Wünsche unserer Nutzer eingegangen sind. Für dich als langjähriger Nutzer von JD1 mag sich vieles ungewohnt und kompliziert anfühlen.
Wir sind uns allerdings sicher, das JDownloader2 für einen Neueinsteiger deutlich einfacher und übersichtlicher ist, als es JD1 jemals war.

[thecoder2012]

Bis auf die externe Verbindung und Login über eure Server kann ich die anderen Anliegen ebenfalls nicht nachvollziehen.

Quote:

Originally Posted by coalado

Uns ist klar dass My.JDownloader ein Kompromiss ist. Die Vorteile überwiegen unserer Meinung nach aber deutlich.

Nun das ist eine Sache der Ansicht. Empfinde die meisten Vorteile als Nachteil weil man auf myjd angewiesen ist und damit einen einzelnen Punkt als Fehlerquelle hat ohne direkte Kontrolle darüber.

Als Voreinstellung sollte man es tatsächlich so lassen aber als Zwangsmaßnahme ist das nicht sinnvoll. Bin sicher ein großer Anteil der Nutzer will es so wie es jetzt ist und auch ggf. Premiumangebote in Zukunft wahrnehmen.

Meines Wissens muss die API für eigene (Web-)Interfaces auch den Login nutzen. Persönlich werde ich myjd wegen dem Loginzwang über euren Server nicht nutzen und ich denke ein Anteil an Nutzern sieht es ähnlich.

Quote:

Originally Posted by coalado

1) Wenn jemand my JDownloader hackt, hat er keine Zugangsdaten, weil unser Server deine Daten nicht hat.

Ganz kann diese Aussage nicht stimmen. Das Passwort muss einmalig vom genutzten Account überprüft werden.
Wurde irgendwo erwähnt wie das Passwort als Hash verglichen bzw. gespeichert wird?

Quote:

Originally Posted by coalado

Wenn da jemand tatsächlich Schwachstellen findet, kümmern wir uns gerne darum.

Man erkennt aber nicht alles als mögliche Schwachstelle an sondern konzentriert sich auf die Verschlüsselung selbst.
Ich möchte nur auf grundsätzliche Anliegen hinweisen und es ist nicht böse gemeint sondern finde eure Arbeit großartig.

Die meisten heutigen Angriffe gehen nicht auf die Verschlüsselung sondern auf den nötigen Schlüssel und da ist das Kernproblem die externe Verbindung statt nur rein lokale Verwaltung.

[Jiaz]

@thecoder: Der Server kennt nur einen ServerHash. Dieser Hash wird aus deinen Logins berechnet und wird über nen zusätzlichen SideChannel abgesichert am Server hinterlegt. Das Passwort verlässt nie deinen Client. Mit dem ServerHash wird lediglich die Kommunikation Client-Server ermöglicht. Die Kommunikation Client-JDownloader wird über ein völlig anderes Secret gesichert und somit können weder wir, noch ein Angreifer am Server auf deinen JDownloader zugreifen.

Die Daten für die Session bleiben natürlich nicht unverändert. Ein kurzer Blick in die API/Docu ( https://support.jdownloader.org/Know...erorg-api-docu ) hätte dir das auch gezeigt. Sessions bestehen aus Tokens und Secrets, welche bei jedem Erneuen der Session auch geupgraded werden. Nach dem ersten Connect/Login werden deine Logins am Client verworfen und ab da wird nur noch mit Tokens/Secrets gearbeitet.

Wir zwingen niemanden MyJDownloader zu nutzen. Jedem steht es frei eigene Clients zu schreiben oder eine eigene API-Anbindung für den JDownloader zu entwickeln. Aus unserer Sicht macht eine Insel-Lösung für *Nerds* und *Pros* eben weniger Sinn, als eine allgemeingültige/sichere/einfache Lösung für alle zu entwickeln.

[coalado]

Also ich kann mir durchaus vorstellen, dass wir das aktuelle My.Jdownloader Webinterface auch ohne große Funktionseinbusen rein lokal zur Verfügung stellen könnten.
Wir müssten halt schauen dass trotzdem möglichst alles abgesichert ist. Da dann aber beim Nutzer ein Server läuft wird er immer selber dafür sorgen müssen, dass der Rechner sauber abgesichert ist.

Bei My.JDownloader horcht JD selbst nicht auf Verbindungen. Er arbeitet nicht als Server, sondern baut nur ausgehende Verbindungen auf. Das wäre beim lokalen Webinterface anders.


Da ein solches lokales Webinterface aber eher ein Nieschenprodukt wäre, würden wir das sicher nicht kostenlos rausgeben können.

Moin Moin zusammen,

gibt es zu dem Thema nach fast einem Jahr ein Update?
Auch ich würde gerne JDownloader auf einem Server verwenden, möchte allerdings ungerne einen Fernzugriff erlaufen. (Heißt nur im lokalen LAN)

Gibt es inzwischen eine Möglichkeit dazu?

[Jiaz]

@Kohbrax: Leider nein. Evtl wäre eine Möglichkeit den Direct-Modus auf LAN Only zu schalten und dann eine weitere Option einzuführen das der JDownloader nur Direkte-Verbindungen verarbeitet. Dazu wären aber auch Umbauten nötig.

Quote:

Originally Posted by Jiaz

@Kohbrax: Leider nein. Evtl wäre eine Möglichkeit den Direct-Modus auf LAN Only zu schalten und dann eine weitere Option einzuführen das der JDownloader nur Direkte-Verbindungen verarbeitet. Dazu wären aber auch Umbauten nötig.

Eine sehr gute Idee.

Noch mal ein Nachtrag:
Ich bin mit MyJdownloader immer noch sehr sehr unzufrieden, insbesondere mit der Geschwindigkeit (inbesondere bis man endlich mal das eigentlich Interface über mehrere Seiten erreicht).
Und ein gespeichertes Hash ist durchaus angegreifbar, bzw. Passwörter sind mit großer Rechenleistung i.d.R. rausfindbar, weshalb ich ein sehr langes Passwort nutze mit Zahlen und Sonderzeichen, was auch nervt beim Eingeben.
Als Workaround nutze ich seitdem jd2 nahezu ausschließlich noch über eine VNC-Verbindung (Xvfb + x11vnc).

[Jiaz]

@Kermit00: Kontaktiere uns bitte via support@jdownloader.org

Das Webinterface kommt vom Server, die Datenkommunikation zwischen Client(Browser) und JDownloader läuft aber im Idealfall direkt, also nicht über den Relayserver.
Prüfe mal ob direkte Verbindungen in deinem Setup funktionieren. Im Webinterface kann man das am VerbindungsIcon sehen, dort kann auch der Modus geändert werden. Bei manchen Setups muss man auch am Router noch eine Einstellung vornehmen, zb https://support.jdownloader.org/Know...ode---fritzbox
Wenn man auch im Internet eine direkte Verbindung ermöglichen will, dann muss man entweder selbstständig oder über UPNP noch Portforwarding einrichten, siehe https://support.jdownloader.org/Know...anced-settings

Deine Bedenken bzgl *angreifbar* verstehe ich und akzeptiere ich. Jedoch kann man dieses Argument auf ALLES anwenden. Mit genug Rechenpower/Geld ist es nur eine Frage der Zeit. MyJDownloader nutzt eine End2End Verschlüsselung (Session basierende Schlüssel, Session basierende AES Verschlüsselung,in Entwicklung befindet sich Request basierende RSA Verschlüsselung, HmacSHA256 Signaturen, RequestIDs). Das Passwort hat zu keinem Zeitpunkt deinen Rechner verlassen. Weder beim Login, noch beim Anmelden. Gerne kannst du weitere Fragen hierzu stellen.Der Browser/App speichert das Passwort nicht sondern nur die aktuelle Session(Token, Secret). Der Client und die API sind offen dokumentiert und du kannst das alles nachbauen/prüfen.

Gerne helfen wir gerne bei dem Problem weiter, schreib uns einfach und die Ursache ist sicherlich schnell gefunden/behoben.

Welche Java Version nutzt du? java -version Ausgabe?
Wieviel Speicher hat JDownloader zur Verfügung? Siehst du im Webinterface in den Einstellungen.
Ist JDownloader über native IPv4 oder DSLLite angebunden? Besteht IPv6 Konnektivität?
Welcher Browser?