[Gelöst] freetz Weboberfläche: Neue Loginversion mit Session-ID, kein Login möglich

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
2
Punkte
0
Hi,

das freetz Webinterface ist nach einem Neustart ohne erneutes Login erreichbar. Gibt's (als Sicherheitsfeature) eine Möglichkeit das zu unterbinden?

Gruss,

andiling
 
Zuletzt bearbeitet:
Gibt's (als Sicherheitsfeature) eine Möglichkeit das zu unterbinden?
Da das der Browser macht (dort wird basic-auth verwendet) für die Dauer der Sitzung - ein Browserneustart sollte das auch unterbinden -, bleibt nur das Umstellen auf die SID-Lösung im Freetz-Interface, wenn das innerhalb derselben Browser-Session auch nicht erwünscht ist.

Ob die SID-Authentifizierung unter Freetz momentan reibungslos funktioniert (das ist m.W. eine eigene, die mit dem AVM-GUI nichts gemein hat), weiß ich nicht ... es gab vor einiger Zeit mal Probleme dort, die aber wohl behoben wurden. Ich habe mich immer zu blöd dafür angestellt ... sprich, bei mir wollte das nie funktionieren.
 
Die Einstellung habe ich gesehen, prompt auch aktiviert nur kommt immer "Passwort falsch!", sprich ich komme gar nicht mehr rein.

Egal ob mit dem Standard-, FBWeb-, freetzWeb- oder telnet-Passwort...
 
Dann geht es Dir wie mir auch (ich habe ja geschrieben, daß ich es nicht zum Laufen gebracht habe) ... dieselbe Erfahrung mußte ich auch machen, ich bin dann über eine normale Telnet-Session wieder auf die Box gegangen und habe die SID-Authentifizierung für Freetz über modsave wieder abgeschaltet.
 
Moins

Dieselbe Erfahrung hab ich auch gemacht.
Allerdings hab ich mit echo -ne > das freetz komplett zurückgesetzt.
Das empfiehlt sich besonders nach einem neuen Trunk, ohne Werkseinstellungen laden zu müssen.

@andiling: Post #1, mit geöffneten Browser bei Neustart? Der hält die Daten fürs Login.
Nach Browserneustart sollte auch das Login wieder kommen.
 
Klappt denn SID nach dem Zurücksetzen?

Ja, Browser war offen.
 
Nicht dass ich wüsste, ich hatte die SID Unterstützung auf einem frischen freetz aktiviert.
...da gab es keine älteren Einstellungen, die eventuell was vermurkst hätten.
 
Du könntest zur Not das "SID-Passwort" selbst setzen, wenn du per Telnet/SSH oder so auf die Box kommst (siehe auch hier):

Code:
echo -n "MEINgeheimesPASSWORD" | md5sum | sed 's/[ ]*-.*//' > /tmp/flash/mod/webmd5
# ggf noch 
modsave flash

Ich meine, das PW ist im Normalfall bei einer Umstellung mitvorhandenem : <USER><PW>
(also sowas wie "adminGeHeIM" ).

Sorry und danke für die Erinnerung an das Thema, das fehlt wohl in der Beschreibung und muss dringend dazugeschrieben werden...
 
Zuletzt bearbeitet:
Danke, @MaxMuster.

Die Kombination aus Benutzername und Passwort hat auch nicht geklappt, allerdings das Setzen eines neuen Passworts.
 
Zuletzt bearbeitet:
SID Timeout
Nein, andiling, das ist logisch so.
Denn der Timeout wird bei Inaktivität nicht höher gesetzt. ;)
...b.z.w. das Webinterface geschlossen wird.
 
Zuletzt bearbeitet:
Oh ja, ich hatte es nicht als Uhrzeit interpretiert, sondern als Countdown... Zeit für mittag :blonk:
 
Weil ihr schon geantwortet habt hier nochmal an der passenden Stelle:

Nee, das ist nicht wirklich "stringent" gelöst. Gibt es kein PW für SID, wird "freetz" angenommen.
Nur dann, und das ist der Punkt, der nicht zusammenpasst, wenn du danach irgendwann in der "normalen" Freetz-GUI das PW einmal änderst, wird für die SID das Passwort als "<User><PW>" zusammengesetzt. Klar, dass das keiner erkennen kann :oops:
Ich schau mir das heute Abend nochmal an...
 
Wenn ich als Benutzername andiling und Passwort 1234 habe, dann hat aber andiling1234 bei mir eben nicht geklappt (ich kann das aber nochmal testen). Das aber nur als Hinweis, mit einem neuen Passwort klappt es ja ;)
 
Sorry, ich verstehe nicht ganz, was du jetzt meinst?!?
 
Vmtl ob man bei basic-auth ein neues Login wie in meinem Fall erzwingen kann.
 
Soweit ich weiß nicht, das "cachen" macht der Browser...
 
Ist da überhaupt clientseitiges JS im Einsatz bei "normalem" Freetz? Wenn nicht, wäre das zwar mit heutigen Browsern auch nicht unbedingt ein Problem, aber es gibt trotzdem genug Add-Ons für die diversen Browser (z.B. NoScript), die das ver-/behindern könnten/würden. Das einfachste ist es eben, den Browser selbst zu schließen ... nicht umsonst enthält eigentlich jede Empfehlung für Vorsichtsmaßnahmen bei der Benutzung eines fremden Rechners (Internet-Cafe o.ä.) auch den Punkt, den Browser am Ende zu schließen und sich ggf. vorher auszuloggen (das geht eben beim Freetz-GUI nicht, weil das keine "Sitzung" hat, solange keine SID verwendet wird).
 
Mißverständnis ... meine Frage zielte in die Richtung, ob bei Freetz mit Basic-Auth überhaupt clientseitiges JS verwendet wird (mal von irgendwelchen "onclick()"-Events abgesehen) und nicht, ob der Client-Browser JS unterstützt.
 
Mal hier eine Ergänzung bzw. ein Punkt für die Wunschliste für die "neue Loginversion":

Nach Ablauf der Sitzung wird man ja richtigerweise wieder zur Passworteingabe geleitet. Nach Eingabe selbigen landet man allerdings wieder auf der Startseite (Status). Die Rückkehr zur zuletzt genutzten Seite wäre natürlich viel praktischer um seine Arbeit wieder aufzunehmen. ;)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.