NEWS
Adapter Worx Landroid v3.x.x
-
ich kam eben in den Login id.worx.com/login und hab die android app rausgeworfen, ebenso Alexa (keine Ahnung, warum die da drin war).
Dann den Adapter gestartet, sofort wieder Error 429.
Login geht da auch nicht mehr, die App erspare ich mir.Also eindeutig was mit dem Adapter, lief hier in Version 3.2.4.
wenn du irgendwelche Daten brauchst.. sag bescheid, bitte.
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Wenn du im Log keine Fehlermeldungen siehst dann bringt der mir leider nichts.
Gruß//Lucky
-
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Wenn du im Log keine Fehlermeldungen siehst dann bringt der mir leider nichts.
Gruß//Lucky
Ok dann ist ja klar, dass ich das falsch gemacht habe, ok. Dann warten wir mal und dann lade ich mir die App wieder herunter..
Ist ja logisch, wenn der die alte Session wieder aktiviert hat..
-
Ok dann ist ja klar, dass ich das falsch gemacht habe, ok. Dann warten wir mal und dann lade ich mir die App wieder herunter..
Ist ja logisch, wenn der die alte Session wieder aktiviert hat..
Moin
Rückmeldung von mir nach ~40h. Hier mein Verlauf:- Adapter gestoppt
- App auf 2 Geräten deinstalliert
- ~40h gewartet
- App auf einem Gerät wieder installiert
- Beim Anmelden kam schon "Verbindungsfehler"
- Neustart der App bringt wieder "Langsamer, sie stellen zu viele...."
Meine Email an den Support (Freitag) wurde noch nicht beantwortet
Was kann man noch testen?
Danke und Gruß
Björn -
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Wenn du im Log keine Fehlermeldungen siehst dann bringt der mir leider nichts.
Gruß//Lucky
@lucky_esa sagte in Adapter Worx Landroid v3.x.x:
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Nochmal von der Logik her.. wenn der Adapter gestoppt ist, funktioniert der rote Button doch garnicht, oder doch???
Und wenn ich den Adapter laufen lasse, werde ich immer geblockt..Daher meine Frage.. wie soll das denn funktionieren?
Wenn ich den Adapter starte, startet er mit der alten Session, die wird gleich wieder geblockt, bis ich den roten Button gedrueckt habe und der Adapter einen neuen Sessionkey holt.. so war's ja jetzt..Da ist meiner meinung nach n dicker Logikfehler drin!
-
@eve11 sagte in Adapter Worx Landroid v3.x.x:
Vielleicht wäre es am besten den Adapter zu deinstallieren und von Vorne anzufangen.
ja, richtig, bevor noch mehr user sich ihren Account damit sperren...
-
@armilar das passt zu der Annahme das nicht Worx sperrt sondern zuvor schon Cloudflare als Sicherheitsdienstleister
Bei mir wäre das schlecht - ich habe eine feste IP-Adresse ...Der
a.nel.cloudflare.comaus dem Screenshot ( dieser Post: https://forum.iobroker.net/post/1278181) ist zumindest sowohl über IPv4 als auch IPv6 erreichbar@bananajoe sagte in Adapter Worx Landroid v3.x.x:
@armilar das passt zu der Annahme das nicht Worx sperrt sondern zuvor schon Cloudflare als Sicherheitsdienstleister
Bei mir wäre das schlecht - ich habe eine feste IP-Adresse ...Der
a.nel.cloudflare.comaus dem Screenshot ( dieser Post: https://forum.iobroker.net/post/1278181) ist zumindest sowohl über IPv4 als auch IPv6 erreichbara.nel.cloudflare.comaus dem report-to header ist nur eine URL zu der der Browser anonymisierte Trackingdaten schickt. Das hat direkt nichts mit dem 429 zu tun. Habe es nur eingerahmt um zu zeigen, dass Cloudflare das Problem sieht.Aber,
account.worxlandroid.comsowieid.worx.comliegen bei Cloudflare. (Sieheserverheader)Der 429 wird also nicht von worx sondern von Cloudflare geworfen. Dort wird sofort auf IP Ebene der 429 zurückgegeben, ohne überhaupt die Requests zu worx weiterzugeben.
Wenn ich mir bei der Telekom eine neue IP abhole, kann ich problemlos auf
account.worxlandroid.comsowieid.worx.comzugreifen. Ohne Einschränkungen.Unter
id.worx.comhabe ich alle verbundenen Apps gelöscht.Dann Adapter gestartet:
worx.0 2025-06-22 11:48:52.573 warn Serial number 202130267209007208FB was not found. Please delete the object tree worx.0.202130267209007208FB. worx.0 2025-06-22 11:48:52.549 info Start check devices object! worx.0 2025-06-22 11:48:52.546 warn No mower found to start mqtt worx.0 2025-06-22 11:48:52.546 info Start MQTT connection worx.0 2025-06-22 11:48:52.531 error {"message":"Too Many Attempts."} worx.0 2025-06-22 11:48:52.531 error AxiosError: Request failed with status code 429 worx.0 2025-06-22 11:48:52.265 info Connected to worx server worx.0 2025-06-22 11:48:51.723 info Start login worx.0 2025-06-22 11:48:51.718 error {"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"} worx.0 2025-06-22 11:48:51.718 error AxiosError: Request failed with status code 400 worx.0 2025-06-22 11:48:51.202 info Login to worx worx.0 2025-06-22 11:48:51.200 info Use new aws-iot-device-sdk-v2. worx.0 2025-06-22 11:48:51.105 info starting. Version 3.2.4 in /opt/iobroker/node_modules/iobroker.worx, node: v20.19.1, js-controller: 7.0.7Danach
account.worxlandroid.comsowieid.worx.comwieder 429. Alles dicht.Also, neue IP geholt.
Wieder kann ich problemlos auf
account.worxlandroid.comsowieid.worx.comzugreifen.
Interessanterweise sind wieder zwei Apps verbunden:
account.wird durch Zugriffe über die Webseite hinzugefügt.
app.durch den Adapter.D.h., als ich den Adapter angeworfen habe, ist mindestens ein Login Versuch pro Applikation zu worx durchgekommen.
Nun ist die Frage, warum cloudflare danach alle Requests von meiner IP blockt.
Entweder:
- Cloudflare registriert das Login-Verhalten als „suspekt“ oder „botartig“ und blockiert die IP automatisch per WAF (Web Application Firewall) Rule, Bot Management oder Rate-Limit Rule.
- Worx hat auf seinem Origin-Backend ein Regelwerk, das bei verdächtigem Verhalten IPs an Cloudflare zurückmeldet (z. B. über Firewall API oder custom Access Rules via API). ZB, wenn App ungültigen Token 5× sendet → API erkennt Missbrauch → löst Blockierung via Cloudflare API aus. (halte ich aber für unwahrscheinlich)
Zu erstem Szenario würde auch passen, dass worx ein Problem mit mqtt DDOS eingeräumt (https://forum.iobroker.net/topic/74380/adapter-worx-landroid-v3-x-x/281?_=1750584154729) hat.
Also, mit neuer IP und funktionierenden Webseitzugriffen worx App installiert.
Diese ist seit gut 5 Tagen deinstalliert.Login schlägt fehl. (Err: "Verbindung fehlgeschlagen")
Beim erneuten öffnen der App dann das bekannte,Langsamer.
Webseitenaccount.worxlandroid.comsowieid.worx.comwieder 429.Mit neuer IP komme ich dann wieder auf die Webseiten und sehe wieder zwei Applications
play.google.offensichtlich die Android APp
account.wird durch Zugriffe über die Webseite hinzugefügt.Also halten wir fest, es sieht alles danach aus, dass Cloudflare der Ausführende ist (429 zurückgibt), aber es ist nicht klar ob:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
ODER
durch explizite Konfigurationen von Worx (z. B. Regeln wie „blockiere IP, wenn ...“)DAS genau muss worx untersuchen.
-
@bananajoe sagte in Adapter Worx Landroid v3.x.x:
@armilar das passt zu der Annahme das nicht Worx sperrt sondern zuvor schon Cloudflare als Sicherheitsdienstleister
Bei mir wäre das schlecht - ich habe eine feste IP-Adresse ...Der
a.nel.cloudflare.comaus dem Screenshot ( dieser Post: https://forum.iobroker.net/post/1278181) ist zumindest sowohl über IPv4 als auch IPv6 erreichbara.nel.cloudflare.comaus dem report-to header ist nur eine URL zu der der Browser anonymisierte Trackingdaten schickt. Das hat direkt nichts mit dem 429 zu tun. Habe es nur eingerahmt um zu zeigen, dass Cloudflare das Problem sieht.Aber,
account.worxlandroid.comsowieid.worx.comliegen bei Cloudflare. (Sieheserverheader)Der 429 wird also nicht von worx sondern von Cloudflare geworfen. Dort wird sofort auf IP Ebene der 429 zurückgegeben, ohne überhaupt die Requests zu worx weiterzugeben.
Wenn ich mir bei der Telekom eine neue IP abhole, kann ich problemlos auf
account.worxlandroid.comsowieid.worx.comzugreifen. Ohne Einschränkungen.Unter
id.worx.comhabe ich alle verbundenen Apps gelöscht.Dann Adapter gestartet:
worx.0 2025-06-22 11:48:52.573 warn Serial number 202130267209007208FB was not found. Please delete the object tree worx.0.202130267209007208FB. worx.0 2025-06-22 11:48:52.549 info Start check devices object! worx.0 2025-06-22 11:48:52.546 warn No mower found to start mqtt worx.0 2025-06-22 11:48:52.546 info Start MQTT connection worx.0 2025-06-22 11:48:52.531 error {"message":"Too Many Attempts."} worx.0 2025-06-22 11:48:52.531 error AxiosError: Request failed with status code 429 worx.0 2025-06-22 11:48:52.265 info Connected to worx server worx.0 2025-06-22 11:48:51.723 info Start login worx.0 2025-06-22 11:48:51.718 error {"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"} worx.0 2025-06-22 11:48:51.718 error AxiosError: Request failed with status code 400 worx.0 2025-06-22 11:48:51.202 info Login to worx worx.0 2025-06-22 11:48:51.200 info Use new aws-iot-device-sdk-v2. worx.0 2025-06-22 11:48:51.105 info starting. Version 3.2.4 in /opt/iobroker/node_modules/iobroker.worx, node: v20.19.1, js-controller: 7.0.7Danach
account.worxlandroid.comsowieid.worx.comwieder 429. Alles dicht.Also, neue IP geholt.
Wieder kann ich problemlos auf
account.worxlandroid.comsowieid.worx.comzugreifen.
Interessanterweise sind wieder zwei Apps verbunden:account.wird durch Zugriffe über die Webseite hinzugefügt.
app.durch den Adapter.D.h., als ich den Adapter angeworfen habe, ist mindestens ein Login Versuch pro Applikation zu worx durchgekommen.
Nun ist die Frage, warum cloudflare danach alle Requests von meiner IP blockt.
Entweder:
- Cloudflare registriert das Login-Verhalten als „suspekt“ oder „botartig“ und blockiert die IP automatisch per WAF (Web Application Firewall) Rule, Bot Management oder Rate-Limit Rule.
- Worx hat auf seinem Origin-Backend ein Regelwerk, das bei verdächtigem Verhalten IPs an Cloudflare zurückmeldet (z. B. über Firewall API oder custom Access Rules via API). ZB, wenn App ungültigen Token 5× sendet → API erkennt Missbrauch → löst Blockierung via Cloudflare API aus. (halte ich aber für unwahrscheinlich)
Zu erstem Szenario würde auch passen, dass worx ein Problem mit mqtt DDOS eingeräumt (https://forum.iobroker.net/topic/74380/adapter-worx-landroid-v3-x-x/281?_=1750584154729) hat.
Also, mit neuer IP und funktionierenden Webseitzugriffen worx App installiert.
Diese ist seit gut 5 Tagen deinstalliert.Login schlägt fehl. (Err: "Verbindung fehlgeschlagen")
Beim erneuten öffnen der App dann das bekannte,Langsamer.
Webseitenaccount.worxlandroid.comsowieid.worx.comwieder 429.Mit neuer IP komme ich dann wieder auf die Webseiten und sehe wieder zwei Applications
play.google.offensichtlich die Android APp
account.wird durch Zugriffe über die Webseite hinzugefügt.Also halten wir fest, es sieht alles danach aus, dass Cloudflare der Ausführende ist (429 zurückgibt), aber es ist nicht klar ob:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
ODER
durch explizite Konfigurationen von Worx (z. B. Regeln wie „blockiere IP, wenn ...“)DAS genau muss worx untersuchen.
@evilels sagte in Adapter Worx Landroid v3.x.x:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben
kein Support per PN! - Fragen im Forum stellen - es gibt fast nichts, was nicht auch für andere interessant ist.
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash -
-
@lucky_esa sagte in Adapter Worx Landroid v3.x.x:
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Nochmal von der Logik her.. wenn der Adapter gestoppt ist, funktioniert der rote Button doch garnicht, oder doch???
Und wenn ich den Adapter laufen lasse, werde ich immer geblockt..Daher meine Frage.. wie soll das denn funktionieren?
Wenn ich den Adapter starte, startet er mit der alten Session, die wird gleich wieder geblockt, bis ich den roten Button gedrueckt habe und der Adapter einen neuen Sessionkey holt.. so war's ja jetzt..Da ist meiner meinung nach n dicker Logikfehler drin!
@neuschwansteini sagte in Adapter Worx Landroid v3.x.x:
@lucky_esa sagte in Adapter Worx Landroid v3.x.x:
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Nochmal von der Logik her.. wenn der Adapter gestoppt ist, funktioniert der rote Button doch garnicht, oder doch???
Und wenn ich den Adapter laufen lasse, werde ich immer geblockt..Daher meine Frage.. wie soll das denn funktionieren?
Wenn ich den Adapter starte, startet er mit der alten Session, die wird gleich wieder geblockt, bis ich den roten Button gedrueckt habe und der Adapter einen neuen Sessionkey holt.. so war's ja jetzt..Da ist meiner meinung nach n dicker Logikfehler drin!
Die Session ist in worx.0.session gespeichert welchen man auch manuell leeren kann. Der rote Button leert den State und das auch ohne das der Adapter eingeschaltet ist. Das refreshToken kann immer wieder verwendet werden es sei denn, ihr ändert PW, User und Application dann erfolgt ein neuer Login. Dieses Verhalten ist von Worx gewünscht und wird mir sogar als Example Code zur Verfügung gestellt.
Mir ist bewusst das ihr versucht eine Lösung zu finden und sucht den Fehler beim Adapter. Was ihr alle gemeinsam habt kann ich nicht sagen aber für mich sieht es nach einer Account Sperrung aus. Warum das so ist kann euch nur Worx sagen.
Ich werde mal den retry-after ausgeben lassen. Dieser sollte ja eigentlich die Zeit beinhalten, wie lange ihr gesperrt seit.
Eure Mails an Worx sollte nicht mehr 3-Party enthalten sondern das ihr mit der Worx APP immer sofort blockiert werdet.
Mittlerweile habe ich auch das Gefühl, dass es irgendwas mit der DDOS Attacke zu tun hat.
Gruß//Lucky
-
@neuschwansteini sagte in Adapter Worx Landroid v3.x.x:
@lucky_esa sagte in Adapter Worx Landroid v3.x.x:
@neuschwansteini Eigentlich sollt ihr eure APP ausprobieren und nicht den Adapter. Wenn alles funktioniert dann dringend erst in der Instanz Einstellung den roten Button drücken damit eure allte Session geköscht wird und dann noch den Adapter auf debug stellen.
Nochmal von der Logik her.. wenn der Adapter gestoppt ist, funktioniert der rote Button doch garnicht, oder doch???
Und wenn ich den Adapter laufen lasse, werde ich immer geblockt..Daher meine Frage.. wie soll das denn funktionieren?
Wenn ich den Adapter starte, startet er mit der alten Session, die wird gleich wieder geblockt, bis ich den roten Button gedrueckt habe und der Adapter einen neuen Sessionkey holt.. so war's ja jetzt..Da ist meiner meinung nach n dicker Logikfehler drin!
Die Session ist in worx.0.session gespeichert welchen man auch manuell leeren kann. Der rote Button leert den State und das auch ohne das der Adapter eingeschaltet ist. Das refreshToken kann immer wieder verwendet werden es sei denn, ihr ändert PW, User und Application dann erfolgt ein neuer Login. Dieses Verhalten ist von Worx gewünscht und wird mir sogar als Example Code zur Verfügung gestellt.
Mir ist bewusst das ihr versucht eine Lösung zu finden und sucht den Fehler beim Adapter. Was ihr alle gemeinsam habt kann ich nicht sagen aber für mich sieht es nach einer Account Sperrung aus. Warum das so ist kann euch nur Worx sagen.
Ich werde mal den retry-after ausgeben lassen. Dieser sollte ja eigentlich die Zeit beinhalten, wie lange ihr gesperrt seit.
Eure Mails an Worx sollte nicht mehr 3-Party enthalten sondern das ihr mit der Worx APP immer sofort blockiert werdet.
Mittlerweile habe ich auch das Gefühl, dass es irgendwas mit der DDOS Attacke zu tun hat.
Gruß//Lucky
Vielen Dank für die ausführlichen Erklärungen!
-
@evilels sagte in Adapter Worx Landroid v3.x.x:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben
@homoran sagte in Adapter Worx Landroid v3.x.x:
@evilels sagte in Adapter Worx Landroid v3.x.x:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben
Jein :)
Dein Gedankengang ist korrekt, aber es gibt mehrere Szenarien, in denen Cloudflare blockiert, ohne das typische "Bitte bestätigen Sie, dass Sie ein Mensch sind"-Popup (Challenge-Seite) anzuzeigen.Die CAPTCHA / Managed Challenge (Mensch-Seite) - was du meinst - wird angezeigt, wenn Cloudflare dich verdächtigt, aber nicht sicher ist, dass du ein Bot sein könntest.
Diese Challenge erscheint nur bei HTML-Inhalten (nicht bei reinen API-Aufrufen, XHR oder App-Calls).
Sie ist aber nur im Browser sichtbar. Eine App oder ein Skript bekommt keine Möglichkeit, sie zu lösen und wird stattdessen geblockt.
Man sieht das Popup typischerweise bei „grenzwertigem“ Verhalten wird aber bei offensichtlichen Angriffen oder Skripttraffic nicht gezeigtCloudflare kann aber auch sofort blocken, ohne Popup, ohne Challenge, z. B. durch:
Rate Limiting Rules, wenn zu viele Anfragen von deiner IP in kurzer Zeit kommen. Ergibt dann Response: 429 Too Many Requests – wie in diesem Fall
Diese Request werden direkt durch Cloudflare beantwortet. Keine Chance zur Interaktion durch Popup.Bot Management mit "hard block" könen ebenfalls einen direkten 429 verursachen. Wenn zB Cloudflare sicher ist, dass du ein Bot bist (z. B. durch Fingerprint, fehlenden User-Agent, automatisierte Muster). Würde dann zB Response: 403 Forbidden, 429, manchmal 503 zurückgeben. Kein Popup, keine Challenge, sofortiger Ausschluss.
Custom Firewall Rules (von Sitebetreiber - also worx) können über das Cloudflare Dashboard Regeln definiert werden. ZB:
Wenn IP-Anfrage > 100 in 60 Sekunden → blockiere sofort Wenn Request-Header fehlt → sofort blockieren Wenn Pfad enthält /api/login/ → max 5 Versuche pro MinuteDiese Regeln würde zB nie ein CAPTCHA zeigen, sondern führen direkt zu einem Block (403, 429, oder 5xx je nach Setup).
Dann sind da noch WAF Managed Rules (Automatische Angriffsabwehr)
Z. B. wenn:
SQL-Injection-Muster erkannt wird
bekannte Exploit-Versuche auftauchen
App-Request-Header verdächtig wirkenDiese führen ebenfalls zu sofortigem Block. Ohne sichtbare Challenge. Besonders bei API-Calls oder App-Verkehr.
Ich denke, Cloudflare kann hier nicht sinnvoll eine Challenge zeigen, weil die App/Adpter sie nicht lösen kann. Daher direkter Block mit 429.
Evtl liegt es ja auch am Token Management auf worx Seite, die sofort IP blocken wenn ein Fehler auftritt.
2025-06-22 11:48:51.718 error {"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"} worx.0 2025-06-22 11:48:51.718 error AxiosError: Request failed with status code 400 worx.0 2025-06-22 11:48:51.202 info Login to worxIch schließe mich der Meinung von @Lucky_ESA an, dass hier nicht der Adapter (oder die App) die Schuldigen sind.
-
@homoran sagte in Adapter Worx Landroid v3.x.x:
@evilels sagte in Adapter Worx Landroid v3.x.x:
Cloudflare autonom durch die aktivierten Schutzfunktionen (Bot Detection, Rate Limits etc.) handelt
wenn ich bei einer Website ein cloudflare popup erhalte, heisst es immer
"bitte bestätigen Sie, dass Sie ein Mensch sind"Sollte der Fehler/ Block von cloudflare kommen, wird IMHO genau diese Überprüfung wohl eine Software (interpretiert als möglicherweise schädlicher Bot) ergeben
Jein :)
Dein Gedankengang ist korrekt, aber es gibt mehrere Szenarien, in denen Cloudflare blockiert, ohne das typische "Bitte bestätigen Sie, dass Sie ein Mensch sind"-Popup (Challenge-Seite) anzuzeigen.Die CAPTCHA / Managed Challenge (Mensch-Seite) - was du meinst - wird angezeigt, wenn Cloudflare dich verdächtigt, aber nicht sicher ist, dass du ein Bot sein könntest.
Diese Challenge erscheint nur bei HTML-Inhalten (nicht bei reinen API-Aufrufen, XHR oder App-Calls).
Sie ist aber nur im Browser sichtbar. Eine App oder ein Skript bekommt keine Möglichkeit, sie zu lösen und wird stattdessen geblockt.
Man sieht das Popup typischerweise bei „grenzwertigem“ Verhalten wird aber bei offensichtlichen Angriffen oder Skripttraffic nicht gezeigtCloudflare kann aber auch sofort blocken, ohne Popup, ohne Challenge, z. B. durch:
Rate Limiting Rules, wenn zu viele Anfragen von deiner IP in kurzer Zeit kommen. Ergibt dann Response: 429 Too Many Requests – wie in diesem Fall
Diese Request werden direkt durch Cloudflare beantwortet. Keine Chance zur Interaktion durch Popup.Bot Management mit "hard block" könen ebenfalls einen direkten 429 verursachen. Wenn zB Cloudflare sicher ist, dass du ein Bot bist (z. B. durch Fingerprint, fehlenden User-Agent, automatisierte Muster). Würde dann zB Response: 403 Forbidden, 429, manchmal 503 zurückgeben. Kein Popup, keine Challenge, sofortiger Ausschluss.
Custom Firewall Rules (von Sitebetreiber - also worx) können über das Cloudflare Dashboard Regeln definiert werden. ZB:
Wenn IP-Anfrage > 100 in 60 Sekunden → blockiere sofort Wenn Request-Header fehlt → sofort blockieren Wenn Pfad enthält /api/login/ → max 5 Versuche pro MinuteDiese Regeln würde zB nie ein CAPTCHA zeigen, sondern führen direkt zu einem Block (403, 429, oder 5xx je nach Setup).
Dann sind da noch WAF Managed Rules (Automatische Angriffsabwehr)
Z. B. wenn:
SQL-Injection-Muster erkannt wird
bekannte Exploit-Versuche auftauchen
App-Request-Header verdächtig wirkenDiese führen ebenfalls zu sofortigem Block. Ohne sichtbare Challenge. Besonders bei API-Calls oder App-Verkehr.
Ich denke, Cloudflare kann hier nicht sinnvoll eine Challenge zeigen, weil die App/Adpter sie nicht lösen kann. Daher direkter Block mit 429.
Evtl liegt es ja auch am Token Management auf worx Seite, die sofort IP blocken wenn ein Fehler auftritt.
2025-06-22 11:48:51.718 error {"error":"invalid_grant","error_description":"The refresh token is invalid.","hint":"Token has been revoked"} worx.0 2025-06-22 11:48:51.718 error AxiosError: Request failed with status code 400 worx.0 2025-06-22 11:48:51.202 info Login to worxIch schließe mich der Meinung von @Lucky_ESA an, dass hier nicht der Adapter (oder die App) die Schuldigen sind.
gut analysiert!
Nur hoffe ich, dass der Worx-Support das kapiert, denn diese Bürokraten Maschinerie ist nicht die besonders hellste.. (zumindest meine Erfahrung..)
-
Die Frage wären nun, wie kann man den Sachverhalt Worx beibringen.
@Lucky_ESA: Hast du zufällig einen Ansprechpartner bei Worx ?@eve11 sagte in Adapter Worx Landroid v3.x.x:
@Lucky_ESA: Hast du zufällig einen Ansprechpartner bei Worx ?
@Lucky_ESA In meinen Augen wäre es sinnvoll, die betrachtete Problematik als neues, eigenständiges Thema in https://github.com/PositecBeta/mower-connection-samples/issues einzutüten. Von einem Einbringen in den dortigen Issue #35 als Zusatz halte ich wenig.
Wenn Du diesen Weg gehst, wirst Du wohl aufgefordert werden, konkret Ross und Reiter zu nennen. Um hier schnell reagieren zu können, empfehle ich allen Betroffenen, ihre Seriennummern und die Zeitpunkte der Sperren per PN an @Lucky_ESA zu schicken - sobald er hier mitgeteilt hat, den genannten Weg eingeschlagen zu haben.
-
@itcrowd sagte in Adapter Worx Landroid v3.x.x:
Selbst die Landroids kommen kaum noch an den Server.
Im Roboter-Forum tummeln sich ja nun sehr, sehr viele Landroid-User. Dort hat aber erstaunlicherweise noch niemand was von diesen Performanceproblemen bemerkt.
@itcrowd sagte in Adapter Worx Landroid v3.x.x:
Besonders betroffen sind die Nutzer ohne öffentlich IPv4, da greift die Sperre in Sekunden und bleibt dann dauerhaft.
Was meinst Du mit "ohne öffentliche IPv4"? Wieviele dieser gesperrten User gibt es Deines Wissens nach? Wo haben diese User von ihren Sperren berichtet? Sind dort nur ioBroker User betroffen?
@hsteinme
Selbst die Landroids kommen kaum noch an den Server.Mit Wireshark mal in die Kommunikation des Landroid geschaut. Er bekommt nur selten eine Antwort.
Was meinst Du mit "ohne öffentliche IPv4"? Wievielte dieser gesperrten User gibt es Deines Wissens nach? Wo haben diese User von ihren Sperren berichtet? Sind dort nur ioBroker User betroffen?
Das ist der Fluch der ganz neuen Technik. Neue große Provider (zB. Glasfaser) haben nicht genug IPv4 Adressen vom großen Kuchen bekommen. Also nutzen theoretisch über 65000 Nutzer eine IPv4 Adresse Richtung Internet. DS-Lite-Tunnel, Mobilfunk und Breitband Kunden, haben dasselbe Problem.
Und ja, zehn meiner Nachbarn haben die orangen Flitzer im Garten. Alle haben Glasfaser und alle zehn haben das gleiche Problem.
-
@hsteinme
Selbst die Landroids kommen kaum noch an den Server.Mit Wireshark mal in die Kommunikation des Landroid geschaut. Er bekommt nur selten eine Antwort.
Was meinst Du mit "ohne öffentliche IPv4"? Wievielte dieser gesperrten User gibt es Deines Wissens nach? Wo haben diese User von ihren Sperren berichtet? Sind dort nur ioBroker User betroffen?
Das ist der Fluch der ganz neuen Technik. Neue große Provider (zB. Glasfaser) haben nicht genug IPv4 Adressen vom großen Kuchen bekommen. Also nutzen theoretisch über 65000 Nutzer eine IPv4 Adresse Richtung Internet. DS-Lite-Tunnel, Mobilfunk und Breitband Kunden, haben dasselbe Problem.
Und ja, zehn meiner Nachbarn haben die orangen Flitzer im Garten. Alle haben Glasfaser und alle zehn haben das gleiche Problem.
-
@itcrowd Danke für die Erläuterung. Wieviele Deiner 10 betroffenen Nachbarn haben ioBroker im Einsatz?
An die hier Betroffenen: Habt Ihr alle Glasfaser-Anschlüsse?
-
Kein Glasfaser, DSL Telekom
-
@itcrowd Danke für die Erläuterung. Wieviele Deiner 10 betroffenen Nachbarn haben ioBroker im Einsatz?
An die hier Betroffenen: Habt Ihr alle Glasfaser-Anschlüsse?
Support us
673
Online32.4k
Benutzer81.4k
Themen1.3m
Beiträge