[Info] FRITZ!Box 7490 Firmware FRITZ!OS 06.80 (23.01.2017)

@andilao:
Wie sähe denn eine optionale Aktivierung der Zwei-Faktor-Authentifizierung bei einem Update aus? Wie macht man das so, daß es im Anschluß beim "durchschnittlichen Kunden", der i.d.R. seine FRITZ!Box ohnehin nicht aus der Ferne administriert (mit viel Glück noch aus dem LAN, weil das mal nicht nach dem Motto "setup and forget" läuft), auch aktiviert ist?

Welche Funktion ist eigentlich mit dieser zusätzlichen Abfrage gesichert (ich bin ohnehin gerade beim "Kartographieren", welche Funktionen nun betroffen sind und habe schon Stellen gefunden, die AVM m.E. "vergessen" hat), die man nach einem (egal ob manuellen oder automatischen) Update des FRITZ!OS unmittelbar aus der Ferne ebenfalls ändern muß? Auch dort müßte eine FRITZ!Box doch bereits fertig konfiguriert sein, wenn sich der Besitzer durch dieses Update selbst aussperren kann?

Der Einsatz einer FRITZ!Box in einer Ferienwohnung o.ä., wo der Besitzer aus der Ferne administrieren muß, dürfte (zumindest nach meiner Ansicht) der deutlich seltenere Fall sein als der "unbeaufsichtigte" Betrieb in irgendeinem Privathaushalt und die Standardeinstellungen sollten sich sicherlich auch an dem ausrichten, was man als "Standard" beim Einsatz unterstellen kann.

Ansonsten ist das Einziehen einer "zweiten Verteidigungslinie" - auch schon zu einem Zeitpunkt, wo es keinen öffentlich bekannten Angriff auf das Gerät gibt - doch sehr zu begrüßen und so etwas muß eben schon vor dem möglichen Schadensfall existieren und auch aktiv sein, wenn es im Fall der Fälle einen Sinn ergeben soll. AVM hat ohnehin Kompromisse gemacht ... innerhalb einer einmal authentifizierten Session wird nie wieder abgefragt - das läßt nach wie vor noch ein paar Möglichkeiten offen, wenn ein Angreifer innerhalb der gültigen Sitzungszeit eine solche SID "erbeutet" (das Timeout kann er dann auch hinausschieben, die Anzeige im Browser ist nicht zwangsläufig die Zeit, die auch in der Box gezählt wird).

Ansonsten sollte es m.E. gerade bei jemandem, der "seine" FRITZ!Box nur aus der Ferne administrieren kann, ohnehin eine Pflichtübung sein, daß er (a) keine automatischen Updates zuläßt und (b) sich vor der manuellen Installation so eines Updates über die Änderungen informiert.

Ich kann auch noch verstehen, wenn man kalt von dieser Funktion erwischt wird, weil man sich vorher nicht informiert hat ... aber ich begreife nicht, warum man dann im Anschluß nicht in sich geht und den eigenen Fehler erkennt, sondern dem Hersteller (man kann mir sicherlich keinen unkritischen Umgang unterstellen) einen Vorwurf macht bei einer Entscheidung, die doch (zumindest in meinen Augen, aber ich lese auch gerne Gegenargumente) irgendwo leicht nachvollziehbar ist. Deshalb die Eingangsfrage, wie man es besser machen könnte und dabei doch denselben Effekt (eben den aktivierten Schutz für die Mehrzahl der Kunden) am Ende erzielt - vielleicht gibt es ja tatsächlich einen (realisitischen) Weg und AVM könnte bei der nächsten derartigen Änderung dann diesen beschreiten.
 
Moin

Naja, auch Entwickler externer Programme bekommen dadurch Kopfschmerzen.
Beispiele:
JFritz: Wählhilfe lässt sich nicht mehr "vernünftig" nutzen, warum?
Fritz!Box Tools: Spukhaftes versagen sämtlicher Funktionen, was ist da los?
 
Bei mir stellt die FB7490 die Verbindung ins Netz als Router her und meldet da auch alle 3 Rufnumern an. Eine der Rufnummern gebe ich auf eine FB 7390 per Lan weiter. Nach dem Update wollte sich partout die FB7390 nicht mehr die Rugfnummer von 7490 holen. Es kam immer die Meldung daß die Rufnummer nicht bei der 7490 angemeldet werden könnte. Tausendmal das Passwort und die interne Nummer getauscht. Nichts. Auf einer der Unterseiten von AVM für SIP Telefonie im Lan steht klammheimlich das die Passwortlänge nun 8-Zeichen betragen muß. Ich also beide Passwörter in beiden Fritzboxen abgeändert und siehe da es ging. Ich finde es ja ganz toll das AVM es nicht geschafft hat eine Abfrage einzubasteln wenn das Passwort nicht der gewünschten Länge entspricht. 2 Tage habe ich nach dem dusseligen Fehler gesucht.
 
@koy:
JFritz sollte (ich hoffe es jedenfalls) mit den offiziellen Schnittstellen arbeiten, denn die Entwickler haben eigentlich einen recht guten Draht zu AVM (soweit man das "von außen" beurteilen kann).

Da müßte die Abschaltung der 2FA nicht einmal notwendig sein ... wenn nicht, hat entweder AVM auch beim X_VoIP-Interface (bei den X_AVM-DE_Dial...-Funktionen) noch Fehler in der Implementierung (das ist nun mal die einzig halbwegs sichere Variante, weil dort die Kommunikation zwischen TR-064-Server und -Client im LAN garantiert TLS-gesichert erfolgt und (bei Einhaltung der notwendigen Maßnahmen durch den Client) niemand dort "mithören" und Daten abgreifen kann) oder es werden eben doch "unsichere" oder undokumentierte Schnittstellen benutzt und deren Trockenlegung ist sicherlich erklärtes Ziel (womit die Frage nach den Fritz!Box Tools dann auch gestreift wäre).

Es gibt tatsächlich noch Probleme in der TR-064-Implementierung (zumindest gibt es Stellen, die nicht wie dokumentiert arbeiten - wobei "Dokumentation" für die mehr oder weniger nur vorhandene Auflistung von Interfaces, Funktionen und Parametern sicherlich ohnehin geprahlt ist; den "Sinn" einer Funktion muß man praktisch immer anhand ihres Namens und der Parameter erraten und kann ihn dann höchstens durch eigene Versuche wirklich durchschauen - unter einer Schnittstellen-Dokumentation verstehe ich irgendwie etwas anderes und man kann sich anderswo auch ansehen, wie so etwas aussehen müßte) - dann müßte man aber AVM auf diese Probleme aufmerksam machen und andere "Schnittstellen" eben nur als "temporären Workaround" begreifen, bei deren Wegfall oder Abwandlung dann nicht das gesamte Programm in Frage steht (wenn parallel dazu die Probleme bei der offiziellen Schnittstelle behoben wurden, was leider auch nicht immer gleichzeitig der Fall ist).

- - - Aktualisiert - - -

Ich finde es ja ganz toll das AVM es nicht geschafft hat eine Abfrage einzubasteln wenn das Passwort nicht der gewünschten Länge entspricht. 2 Tage habe ich nach dem dusseligen Fehler gesucht.
Und dabei hätte ein einziger Blick in die "info.txt" zum Update schon gereicht ...

info.txt schrieb:
Sicherheit:
NEU - Das Kennwort für die Anmeldung eines IP-Telefons an der FRITZ!Box muss mindestens achtstellig sein. IP-Telefone mit kürzerem Kennwort werden beim Update deaktiviert.
 
Ich finde es schon lächerlich wie hier der Bastelverein AVM schön geredet wird.
Entschuldigt den Ausdruck Bastelverein, aber zu dem was diese "Softwareschmiede" abliefert, fällt mir kein passender Ausdruck ein.

Ist fast schon wie bei Sky und Konsorten, die sich auch auf das "kleingedruckte" beziehen.

Wenn es eine gute Software wäre, dann gäbe es nachdem Update ein Abfrage, wenn man unbedingt die Daus schützen muss.
Ich bin mir aber sicher, dass auch diese schützenswerten Daus über diese Update Politik gestolpert sind. (z.B. PW-Länge)

In keinem anderen Router ist mir bislang so was passiert wie bei AVM.

P.S.: Solange VPN mit der 7490 noch gut funktioniert, fliegt die 7490 nicht zum Fenster raus.
 
Zuletzt bearbeitet:
@ppm007:
Dann sollte man aber auch an den Stellen "draufhauen", wo es zumindest dem Anschein nach berechtigt ist und das auch noch dann, wenn man mal etwas über den eigenen Tellerrand hinausschaut. Wenn man jede Funktion des FRITZ!OS nur nach dem eigenen Bedarf bewertet, dann bräuchte es vermutlich ein FRITZ!OS in mind. 20 verschiedenen "Zusammenstellungen" und selbst dann kämen noch irgendwo die Fragen "Bei mir finde ich den oder den Punkt nicht." hinterher von irgendwelchen Nutzern.

Eine "Nachfrage" nach dem Update ... wie soll das in der Praxis genau funktionieren? Das hat AVM einmal (bei den Einstellungen zur Übermittlung von Daten bei der Labor-Version über den AVM-ACS) "geübt" ... es funktioniert einfach nicht so ohne weiteres, weil man sehr viele Randbedingungen einkalkulieren muß und das lohnt sich - angesichts der eher seltenen Fälle eines "Remote-Updates" und auf das Argument, daß man sich vorher informieren sollte (das ist "Admin-Klippschule" und wer zur Fernadministration von FRITZ!Boxen "berufen" ist, sollte diese zumindest absolviert haben) ist bisher auch nicht eingegangen worden - dann wohl doch nicht.

Solche Überlegungen, warum das keine wirklich gute bzw. keine so einfach umzusetzende Idee ist mit so einer Nachfrage, gehen schon damit los, daß niemand einen FRITZ!Box-Besitzer "zwingen" kann, das GUI irgendwie im Browser zu öffnen. Jede Menge Leute verwenden das extern mit irgendwelchen Apps und wissen gar nicht, daß auch das über eine CGI-Schnittstelle von außen erfolgt. Bleibt bei diesen Leuten dann die 2FA ständig deaktiviert, so nach dem Motto "Selber schuld, warum läßt Du auch Deine Box automatisch aktualisieren und schaust dann nicht gleich nach dem Update im GUI nach, was sich geändert hat?" ... das kann es eben auch irgendwo nicht sein und so, wie man diese "Informiertheit" dann vom Durchschnittsbenutzer einfordert damit die 2FA aktiviert wird, kann man sie eben auch von der (zahlenmäßig vermutlich kleineren) Gruppe der Fernadministratoren einfordern, bei denen man ohnehin größere Vertrautheit mit "best practices" für solche Updates unterstellen kann.

Sollten tatsächlich zusätzliche Anwendungen wie JFritz oder FBEditor über das GUI zugreifen, kriegen die dann erst einmal diese zusätzliche Nachfrage? Wie unterscheidet man solche Zugriffe von denen, wo ein "Benutzer" vor dem Browser sitzt? Kriegt die dann jeder beliebige Benutzer oder nur einer mit administrativen Rechten? Vor oder nach der erfolgreichen Anmeldung? Wie oft erscheint die Abfrage, wenn man sie nicht beantwortet? Es müßte ja dann zumindest eine definitive "Ja/Nein"-Auswahl geben, damit nicht die "versehentliche" Anzeige dieser Nachfrage bei irgendeinem automatischen Seitenabruf (das kann im Extremfall ein Browser sein, der seinerseits alle zuletzt aktiven Tabs erneut öffnet) dann bereits als Benachrichtigung "mißverstanden" werden kann und dann doch wieder irgendein Standardwert genommen wird. Das wäre dann sicherlich noch verwirrender, wenn bei dem einen Benutzer die 2FA aktiv ist, weil der (ohne Absicht) die Nachfrageseite irgendwie geöffnet hatte und die Frage aber gar nicht beantwortete und sie trotzdem nie wieder erscheint.

Ich bin ja gerne dabei, wenn es um "AVM-Bashing" geht (und manchmal stimmt vermutlich auch das Sprichwort mit dem Sack und dem Draufhauen) ... aber es ist einfach auch schlauer, sich auf die wirklich kritikwürdigen Punkte zu stürzen (und dabei trotzdem sachlich zu bleiben, wo #311 m.E. schon hart am Rand entlangschrammt) und da seine Meinung (gerne auch "knallhart") kundzutun als sich in ein "Rauschen" einzureihen, wo die Kritikpunkte - zumindest teilweise - ohne Grundlage sind, denn das fehlende Lesen der "info.txt" vor dem Update läßt sich ja nur dann "wegdiskutieren", wenn man es tatsächlich getan hat und dabei dann nicht verstanden hat, was dort steht bzw. sich keine Gedanken um dessen Bedeutung machte und ggf. noch einmal (und zwar vor dem Update) nachhakte oder nachlas, was das nun sein mag.

Wenn jemand tatsächlich dermaßen "Spezialist" ist, daß er andere als DAU ansehen kann oder sollte, dann hätte so jemand - nochmal, nach meiner eigenen Meinung, die ich mit sachlichen Argumenten gerne entkräften lasse - sich vor dem Update auch informiert, wenn er es nicht bereits im Rahmen der Labor-Zweige mitbekommen hat. Ich bin immer noch auf die Erklärung gespannt, welcher "Spezialist" das warum außer Acht lassen sollte - man installiert einfach kein Update (und das gilt eben nicht nur für AVM-Firmware, sondern für praktisch jede beliebige Software), ohne sich zuvor über die Änderungen zu informieren.

@koy:
Wenn das beim von AVM "vorgesehenen" Weg passieren sollte (das wäre die Funktion "X_AVM-DE_DialSetConfig()") und bei einem von AVM dafür vorgesehenen "Client" (IP-Telefone sind als Wählhilfe offiziell ja nicht auswählbar), dann wäre das schlecht dokumentiert (hatten wir ja an anderer Stelle schon), denn bei dieser Funktion steht (in der heute zu ladenden Fassung) nichts davon, daß diese bei aktiver 2FA nicht verwendbar ist. Also AVM-Fehler ...

Wenn das irgendein Seitenaufruf über das GUI als "Browser-Emulation" sein sollte (ich weiß nicht, wie JFritz arbeitet) ... c'est la vie. Damit muß man beim Einsatz von undokumentierten Schnittstellen rechnen .. bleibt demjenigen, der Programm und OS-Version gleichzeitig nutzen will, nur die Wahl, das Update auszulassen oder das Programm an die neue Version anzupassen oder anpassen zu lassen. Auch da sind dann Vor- und Nachteile gegeneinander abzuwägen und genau für eine informierte(!) Entscheidung des FRITZ!Box-Besitzers halte ich es dann wieder für notwendig, daß AVM auch selbst alle Karten auf den Tisch legt, warum ein Update auch dann sinnvoll sein könnte, wenn damit die Kompatibilität für das Programm XYZ dahin ist.


-Ich finde es manchmal wirklich beängstigend, wie sehr einige nur von ihrer eigenen Warte aus solche Neuerungen beurteilen. Da bleibt mir dann wirklich manchmal "die Spucke weg" - ich finde das extrem kurzsichtig und wer tatsächlich der Meinung ist, AVM würde nun genau für ihn das "maßgeschneiderte FRITZ!OS" bauen müssen, der sollte sich entweder auf andere Technik oder andere Hersteller stürzen oder auch mal überlegen, daß sich selbst hier im IPPF vielleicht 0,5 Prozent der bundesweiten FRITZ!Box-Besitzer versammeln (ich habe nur mal die anzunehmende Anzahl von 20 Mio. FRITZ!Boxen durch 100.000 Benutzer (bei "aktiv" als Kriterium, wird die Zahl noch um zwei Zehnerpotenzen kleiner) geteilt) und wenn schon hier die Meinungen so weit auseinandergehen (und man sich hier "lächerlich macht beim Versuch, den Bastelverein AVM schönzureden", wenn man eine Gegenposition zu (schlecht begründeten) Argumenten einnimmt), dann ist das beim verbleibenden "Rest" der FRITZ!Box-Besitzer auch nicht viel anders - da gehen dann "nur" noch die Leute ab, die sich mit ihrer FRITZ!Box gar nicht weiter befassen und wo die einmal vom Provider per TR-069 eingerichtet wurde und nun hinter irgendeinem Schrank einstaubt, bis es ein Problem mit dem Internetzugang gibt. Und genau für diese "Zielgruppe" ist das Aktivieren eines zusätzlichen Sicherheitsmerkmals als Standard sinnvoll und rein zahlenmäßig ist das nun mal der Löwenanteil ... auch wenn die anderen vielleicht lauter brüllen. Wenn man einfach zuvor mal etwas überlegt, sieht das vielleicht schon wieder anders aus - wobei eben auch die persönliche Enttäuschung, der man sich durch diese Änderung seitens AVM nun ausgesetzt sieht, nicht unbedingt in unsachlicher Kritik münden muß.
 
@PeterPawn
Meine volle Unterstützung, ich bin mit AVM was Angebot, Entwicklung und Service betrifft sehr zufrieden. Zur Zeit wird vom Service recht penibel ein NAS - Mediaserver Problem gelöst.
Fritz
 
Es steht zwar in update.txt bezüglich der IP Telefonie drin, aber das ist einfach der falsche Schritt eine bestehende Konfiguration ohne Rückmeldung zu deaktivieren, auch wenn die Punkte sicherheitstechnisch (für viele) Sinn ergeben.

Der richtige Schritt weg wäre gewesen erst bei einer Neueinrichtung und nicht bei einer Übernahme der Daten diese Einschränkung deaktivierung vorzunehmen

oder eine Meldung auf der Startseite / Popup beim Update oder ähnliches, dass das Telefon nicht mehr funktioniert und nicht im tiefsten Menu versteckt. Ich persönlich wusste zum Beispiel das Passwort und seine Länge gar nicht mehr, habe dies vor Uhrzeiten mal generiert und eingegeben.

Der Punkt mit dem Knopf drücken oder Code eingeben, ist für Leute die aus der Ferne die Fritzbox administrieren genau so nervig, wenn sowas bisher nicht aktiviert war und durch das Updates, es nur deaktivieren kann, wenn man Vorort ist. Hier hat jmd nicht mitgedacht. Auch hier gilt, es sollte bei Neuinstallation aktviert sein, aber nicht still und heimlich durch ein Update ohne Zustimmung des Nutzers aktiviert werden.

Ein kurzer Einrichtungsassitent nach dem Update würde das Problem lösen.

und zum letzten Punkt mit dem automatischen ausloggen, der nervt mich am meisten und habe bisher keine Möglichkeit gefunden dieses unsinnige Feature abzuschalten, wenn man aus dem LAN drauf zugreift.
 
@PeterPawn;2206801
:rock: ich glaub du hast nun alles dazu gesagt, was es zu sagen gibt und der letzte der das nicht versteht, der muss es anscheinend im Geldbeutel erst spüren.
(zumal wie vielfach gesagt, diese Klientel das Sicherheits-F. deaktivieren kann - abgesehen von der einmaligen "Hürde" die zu nehmen ist - ist dann alles wie bisher)

und da dies kein Fehler ist bzw. auch Box übergreifend, sollten wir wieder zum Topic zurück kehren
 
@Hamilton:
Wieviele Benutzer einer FRITZ!Box werden jetzt hingehen und diese FRITZ!Box neu einrichten? Das ist doch gerade der Kern der Argumentation, daß bei der Mehrzahl der Kunden gar keine wirkliche "Administration" stattfindet und selbst wenn mal ein Zurücksetzen auf Werkseinstellungen stattfinden sollte, wird meist eine Sicherungsdatei wieder importiert. Wenn die Voraussetzung für die Aktivierung der 2FA tatsächlich die Neueinrichtung wäre, dann würde das eigentliche Ziel wohl ebenfalls wieder verfehlt.

Wenn Du auch das Kennwort und dessen Länge nicht mehr wußtest ... angesichts der Deaktivierung darf man dann zumindest unterstellen, daß es kürzer als 8 Zeichen war und wenn jemand tatsächlich ein zufälliges Kennwort "generieren" läßt (was schon mal ein sehr guter Ansatz ist), dann würde ich so jemandem auch unterstellen, daß er dabei gar nicht erst auf die Idee kommt, ein Kennwort mit weniger als 8 Zeichen zu verwenden.

Ich habe sogar mal irgendwo die "Forderung" erhoben, beim Einrichten eines SIP-Clients in der FRITZ!Box einfach ein zufälliges Kennwort zu generieren (so ab 16 Zeichen aus A-Z,a-z und 0-9 - auf Sonderzeichen könnte man bei 62 ** 16 > 4,5 * 10 ** 28 auch guten Gewissens verzichten und dann stellt sich die Frage von Sonderzeichen bei der Eingabe über eine Telefontastatur nicht) und das dann vom Benutzer (einmalig wohlgemerkt, weil man wohl kaum jede Woche ein solches Kennwort wechselt) abtippen zu lassen oder ihm meinetwegen noch einen passenden QR-Code zu generieren. Wenn dann jemand unbedingt hingehen und sein SIP-Kennwort auf "12345678" setzen möchte, muß er eben den Umweg über die Konfigurationsdateien nehmen. Jedenfalls braucht man heute beim "Probieren" eines vierstelligen Kennworts für eine SIP-Anmeldung (dafür reicht bereits der Mitschnitt eines einzigen Dialoges, weil der Benutzername und der "nonce"-Wert bekannt sind und nur noch das verwendete Kennwort in den MD5-Hash als Variable eingeht) mit "digest auth" keine wirkliche Zeit mehr (zuerst probiert man ohnehin nur numerisch, weil das "so schön einfach" auf einem Telefon einzugeben wäre, dann erst wird ggf. auf alphanumerisch erweitert) und AVM hat das sicherlich nicht aus purer Langeweile verschärft, sondern eher, weil es auch "Spezialisten" gab, die dann "620" als Kennwort für "620" verwendeten (ist ja "nur im LAN") oder gar das allseits beliebte "1234" (die Limitierung auf mind. 4 Zeichen gab es m.W. schon länger).

Wie nervig das Drücken des Buttons oder die Verwendung des Telefons für die Remote-Administration auch sein mag ... der Feststellung, daß da "jemand nicht mitgedacht" hat, schließe ich mich keinesfalls an, ich widerspreche ihr sogar ausdrücklich. Hier hat nämlich jemand tatsächlich mitgedacht und einen Standardwert mal so vorgegeben, daß er bei der Mehrzahl der Besitzer einer FRITZ!Box auch einen Sinn ergibt. Was nutzt denn eine 2FA im FRITZ!OS, wenn die am Ende weniger als 5 Prozent der Geräte auch aktiviert ist und diese 5 Prozent finde ich schon sehr optimistisch geschätzt. Wieviele Prozent der in D installierten FRITZ!Boxen mögen ausschließlich aus der Ferne administriert werden? Das meint ausdrücklich nur die Boxen, wo tatsächlich niemand vor Ort ist (es also nicht nur ein Gefallen für den Besitzer ist, wenn jemand aus der Ferne verwaltet) und auch niemand den Button für die Deaktivierung der 2FA drücken kann. Und für diese Fälle sollte man dann eine solche "Nachfrage" nach dem Update einbauen, die - egal wie man es auch macht - auch noch eine weitere Fehlerquelle darstellt? Aus meiner Sicht gibt es da eine eindeutige Antwort und die ist: "Nein, sollte man nicht ... und hier hat AVM tatsächlich mitgedacht."

Ansonsten gab es das automatische Ausloggen bzw. das Beenden einer Sitzung, denn das ist kein browserseitiges Logout (zumindest war es das in der Labor-Reihe nicht, wo auch noch sehr lange die Anzeige oben im Menü falsch war), die SID verfällt nur nach 20 Minuten ohne Aktivität des Benutzers, schon viel länger, bisher waren es nur 60 Minuten, die so eine Sitzung gültig blieb. Angesichts der Tatsache, daß die wenigsten Benutzer sich aus dem GUI ausloggen und damit so eine SID dann eine ganze Stunde lang noch mißbraucht werden konnte, wenn man die passende IP-Adresse dazu auch noch kannte, ist die Beschränkung auf 1/3 der bisherigen Zeit auch kein wirklicher Beinbruch - auch angesichts der Tatsache, daß eine erfolgreiche 2FA für genau so eine Sitzung gilt. Solange also jemand tatsächlich mit dem GUI arbeitet (die automatischen Refreshs von Daten zählen da extra nicht als Zugriff, es gibt einen Parameter, ob das Timeout weiterlaufen soll oder nicht), wird er/sie auch nicht ausgeloggt - das erfolgt erst bei Inaktivität und da sind 20 Minuten noch sehr human und schon wieder fast zuviel.

Das ändert allerdings nichts daran, daß auch ich mir von AVM so eine Art "Dashboard" wünschen würde, wo man sich wirklich einmalig anmeldet und dann die Daten (read/only wohlgemerkt) angezeigt bekommen kann, die man gerne hätte ... die "Einstiegsseite" ist zwar schon ein erster Ansatz, aber "Online-Monitor" oder die aktiven VPN-Verbindungen usw. hätte ich auch gerne noch (als frei wählbare) Anzeigen in so einer Seite. Gerade am Beginn des "Web 2.0" gab es ja jede Menge solcher Web-Portale, wo man sich die Komponenten nach eigenem Geschmack und nach dem eigenen Informationsbedürfnis anordnen konnte und so eine Art "Cockpit" entstand, wo man die wichtigsten Informationen auf einen Blick erhaschen konnte. Das wäre (als reine Anzeige) auch nicht wirklich sicherheitskritisch, wenn da eine solche Sitzung (meinetwegen sogar mit einem speziellen Benutzer, der nur "r/o"-Zugriff auf die Einstellungen hat) länger als die 20 Minuten aktiv bliebe. Zwar könnte/kann man so etwas auch als externe Anwendung erstellen, aber in der FRITZ!Box wäre es eben mit jedem System und nur einem Browser nutzbar. Bei der Gelegenheit klappt es ja dann vielleicht auch noch mit "benutzerspezifischen Einstellungen", denn neben der zu verwendenden Sprache wäre auch die Einstellung von "Ansicht: Erweitert" sicherlich eine, die man besser pro Benutzer als pro Box speichern sollte.

@informerex:
Ich hatte das hier schon geschrieben, als ich Deinen Beitrag gesehen habe ... es ist die letzte "Wortmeldung" zu diesem Thema, versprochen - aber ich sende das trotzdem noch ab, weil es zusätzliche Gesichtpunkte enthält. Wobei ich schon der Meinung bin, daß das zum Thema gehört ... wenn die Nachfragen, was es damit auf sich hat, hier stehen und die "Angriffe" auf dieses Merkmal, dann gehört auch die "Verteidigung" hier hin.

@opto:
Kannst Du in der "ar7.cfg" deaktivieren, steht als "two_factor_auth_enabled" im Abschnitt "boxusers". Sollte also mit Telnet-Zugang zur neuen Version kein Problem sein, eine "vorauseilende" Änderung könnte problematisch sein, wenn die Vorgängerversion diese Einstellung nicht kennt, nicht mag und ihrerseits bei erneuten Schreiben der "ar7.cfg" wieder entsorgt - hier müßte man ggf. nach der Änderung die Box killen und neu starten (notfalls über SysRq). Ob nach der Änderung der "ar7.cfg" in einer 06.80 der Neustart des "ctlmgr" ausreicht oder ob die gesamte Box neu gestartet werden muß, habe ich noch nicht probiert - es geht natürlich logischerweise auch über ein "ctlmgr_ctl" (boxusers:settings/twofactor_auth_enabled mit Wert 0 oder 1) oder über "set.lua" (macht das GUI ja auch so), wobei ich da nicht mehr sicher bin (der Test war ganz am Beginn der Laborserie), ob da die Abfrage auch erfolgt oder ob das tatsächlich nur der Fall ist, wenn dort (beim Ändern über das GUI) die Funktion "twofactor.startAndRun()" aufgerufen wird. Ich hatte das ja dann irgendwann auch abgeschaltet und so auch nicht mehr mitbekommen, wo AVM das nun überall noch zwischengeschaltet hat - da mache ich gerade Bestandsaufnahme.

Beim Kernel bin ich auch immer noch bei der Bestandsaufnahme bei den Änderungen (u.a. hat sich etwas an der ".config" bzgl. des TFFS geändert, da wird jetzt anstelle von "CONFIG_TFFS" in "LEGACY" und "NAND" unterschieden und es sind im Parser jetzt zwei Einträge für NAND-Partitionen zusätzlich in der MTD-Tabelle reserviert) und habe noch keine Ahnung, ob da wirklich die angemahnten Dateien nun dabei sind (und damit das "avm_kernel_config" aus meinem Repo überflüssig ist) oder nicht - damit kann ich auch nichts zum Aufbau des Konfig-Bereiches sagen. In jedem Falle muß man die Konfiguration noch einmal sehr gründlich prüfen und man sollte zumindest dafür sorgen, daß der eigene Kernel mehr Symbole als der originale enthält (weil man zusätzliche Funktionen integriert) und nicht weniger - also wäre hier schon der Vergleich mit den "kallsyms" aus dem AVM-Kernel "Pflicht", bevor man überhaupt einen Start versucht.

Wobei wir uns mit den Kernelfragen wirklich in den "Modifikationen"-Teil verziehen sollten, das interessiert hier nur die Allerwenigsten.
 
Hm, wenn also, zum Beispiel, der JFritz Nutzer, ab Fritz!OS Version Sowieso, darauf hingewiesen wird an der und der Stellle, um die Wählhilfe auf die oder die Art zu nutzen, an der Fritz!Box einen Taster zu betätigen der so und so lange für die Benutzung in dieser Session gültig ist.
:gruebel: (Sonst sind viele Einstellungen der Box gesperrt :( Nein :) ;) )
Ja, dann ist das Problen doch gelöst.
:) (Das ist genauso einfach wie "apg" scnr )

Allerdings wurmt mich, für die Standard Nutzer, dass dann solche Standardeinstellungen, wie der Mediaserver, "in Beton gegossen" werden.
(Oder brauchts da keine Bestätigung? Ach, eh egal :mrgreen: )
 
Zuletzt bearbeitet:
Wenn Du auch das Kennwort und dessen Länge nicht mehr wußtest ... angesichts der Deaktivierung darf man dann zumindest unterstellen, daß es kürzer als 8 Zeichen war und wenn jemand tatsächlich ein zufälliges Kennwort "generieren" läßt (was schon mal ein sehr guter Ansatz ist), dann würde ich so jemandem auch unterstellen, daß er dabei gar nicht erst auf die Idee kommt, ein Kennwort mit weniger als 8 Zeichen zu verwenden.

Es ist nur im LAN Netz.

Für die Internetnutzung mit einer 7270 als IP Gegenstelle, wollte ich ein Passwort mit mehr als 16 oder wars 12 Zeichen generieren. Ging aber nicht.
 
Was mir bei der ganzen Sache trotzdem noch sauer aufstößt, dass AVM die 2FA auch bei Boxen aktiviert ohne jegliche potenziell kostenverursachende VoIP-Einstellungen.
Na ja, die ggf. hinterlegten SMTP-Credentials, die man aus einer Sicherung mit bekanntem Kennwort ja auch extrahieren kann, sind sicherlich etwas Mühe wert, selbst wenn sich da kein "Kosteneindruck" im Portemonnaie des Besitzer der Box ergeben sollte.

Was ich hingegen wieder fatal finde (das ist eines der Ergebnisse des "Kartographierens") ... der Upload eines eigenen TLS-Zertifikats samt privatem Schlüssel ist auch bei aktiver 2FA nicht damit gesichert. Das wäre ja nun genau ein Punkt gewesen - wie eigentlich alle Einstellungen auf der Registerkarte "FRITZ!Box-Dienste" - bei dem ich das erst so richtig für sinnvoll gehalten hätte, inkl. des Anlegens einer neuen VPN-Verbindung.

Entweder AVM ist da doch nicht so ganz fertig geworden mit der Implementierung oder man will das wirklich "unshielded" lassen.

Auch bei den Pushmail-Einstellungen hat man einige Punkte geschützt (u.a. auch das Festlegen des Kennworts für den automatischen Export beim Update), aber die Absendereinstellungen lassen sich ohne Probleme weiterhin ändern. Das wäre alles nur halb so wild, wenn nicht ausgerechnet die als Absender in der FRITZ!Box eingestellte E-Mail-Adresse auch noch der (nicht zu verändernde) Empfänger der "Kennwort vergessen"-Mail mit einer automatisch generierten SID für einen administrativen Benutzer wäre.

Man kann sicherlich bei vielen Punkten diskutieren, ob die überhaupt "schützenswert" sind - für mich gehört der Faxversand per GUI da nicht dazu, weil der bei weitem nicht die Anruffrequenz für größere Schäden zusammenkriegt (nach meiner Ansicht, damit das nicht falsch verstanden wird) ... es gibt m.W. keine Möglichkeit, das Senden eines Faxes abzubrechen und wohl auch keine parallelen Aufträge (jedenfalls lieferte bei mir ein entsprechender Versuch mit zwei Browsern beim zweiten Fax immer einen nicht näher benannten Fehler) - damit geht zumindest das "Geträller" noch über die Bühne und das dauert ja auch seine Zeit, wo bei der typischen Angriffsmasche dann Anrufe von 1 bis 2 Sekunden im Stakkato erfolgen würden. Außerdem ist das dann eben (bei entsprechender Nutzung der Box) tatsächlich eine Funktion, die man "im Alltag" braucht. Das dürfte beim Konfigurieren eines SIP-Telefons oder beim Im- oder Export von Einstellungen dann schon wieder vollkommen anders aussehen. Hier wäre wohl (auch wenn ich mich wiederhole) die Möglichkeit der Auswahl für den Besitzer der Box deutlich die bessere Alternative gewesen ... vor allem deshalb, weil dann die Zahl der "Entnervten", die das nur deshalb komplett abschalten, weil es sie an einer ganz bestimmten Stelle stört und keine selektive Abschaltung möglich ist, sicherlich auch kleiner wäre.

Das Ändern der WLAN-Keys (sowohl fürs eigene als auch für das Gastnetz) ist aber wieder etwas (abgesehen davon, daß der WLAN-Key eben "auslesbar" ist im GUI), was man nun sicherlich nicht jeden Tag aufs Neue macht und wo die zusätzliche Sicherung nun wirklich fast keinen Verlust an Komfort nach sich ziehen würde. Auch das Löschen des Ereignisprotokolls (auch wenn das wieder protokolliert wird, seit wann genau, weiß ich gar nicht) wäre so ein Punkt, wo der normale Benutzer wohl eher selten vorbeikommt, der aber für einen Angreifer wieder recht interessant ist, wenn es um das Verwischen von Spuren geht.

Wie gesagt ... die Meinungen gehen sicherlich auseinander, aber ich hätte da zumindest die Punkte noch eingeschlossen, die eben nicht das "täglich Brot" bei der Arbeit mit der FRITZ!Box sind und wo ein Angreifer auch tatsächlich ein Interesse haben könnte, eine Einstellung zu ändern, wenn er auf irgendeinem Weg an die Credentials für eine Admin-Sitzung gelangt ist - das ist im schlechtesten Fall der Browser auf einem infizierten Android-Gerät, wo ein Prozess mit "root"-Rechten die (unverschlüsselte) HTTP-Kommunikation mit der Box belauscht. Am Ende kann (und vermutlich soll) die 2FA ja genau gegen solche Zugriffe schützen ... der Angreifer hat zwar eine SID für eine Admin-Sitzung, kann aber keine wirklich relevante Einstellung ändern, weil er als reine Software weder die Taste drücken noch den Anruf machen kann.

Wobei mir da glatt wieder einfällt, daß ich doch mal schauen wollte, wie das wohl aussieht, wenn ein ISDN-Telefon per CAPI die geforderte Nummer wählt (hier würde ja schon Phoner im CAPI-Modus für einen Test reichen) ... wahrscheinlich hat man bei AVM aber auch daran gedacht, wobei die Unterscheidung Telefon vs. CAPI-Client vermutlich nicht so ganz leicht wäre, zumindest nicht an der Stelle, wo das dann landet. Die CAPI-Schnittstelle dürfte recht "nahe am ISDN" sitzen ... wobei das ja auch alles "geheim" ist, mithin nur Spekulation und graue Theorie, bis man es probiert hat.

Auch die Frage, wie weit da das "Wählen" über AT-Kommandos bei Benutzung des Ports 1011 möglich wäre (der ist aber nur an die 127.0.0.1 gebunden und ein Angreifer müßte dazu dort bereits zugreifen können), ist sicherlich nicht ganz uninteressant.
 
kurz gesagt, ich habe diese Probleme auch. Was mich aber am Meisten stört, AVM ignoriert diese Tatsache schlicht. Die Antworten sind wie schon erwähnt, Textbausteine und man kenne das Problem nicht.

Ich bin kurz davon, mir Alternativen anzuschauen umsomehr im Zeitalter von Handy Flatrates die Telefonfunktionen für mich nicht mehr an erster Stelle stehen
 
Welche Probleme hast Du auch?
 
z.T. haben Apple Geräte Mühe dieMails abzuhollen. Dann dreht es ellenlang und dann die Meldung keine Internetverbindung. Dasselbe mit diversen Apps. Hatte ich schon mit den Betaversonen. Habe nun ein downgrade gemacht und alles funktioniert wieder tadellos. Und AVM tut so als wäre ich der Einzige. Dabei betreue ich 2 Bekannte, die auch eine Fritzbox 7490 haben, das Problem lässt sich auch auf diesen Boxen replizieren.

Und AVM mimt den Ahnungslosen, sorry so geht es nicht. Dann kann ich gleich die Zwangsbox nehmen, die mir mein Provider anbie tet
 
Mal was ganz anderes, seit dem Upgrade auf 6.80 "nervt" mich die Mail der Box mit der Fehlermeldung als einzelne eMail
"Letzter ausgehender Anruf aufgrund eines Fehlers im Telefonnetz gescheitert"

Ich habe nirgends eine Möglichkeit gefunden, genau nur diese Mail zu unterdrücken oder habe ich was übersehen?
 
Ich finde nicht, dass der Faxversand über das GUI schützenswert wäre, den könnte man finde ich gleich ganz raus werfen. Wenn man wenigstens ne PDF Datei versenden könnte, dann könnte man so wenigstens noch Kündigungen raus faxen, aber nur ne Bilddatei... sinnfrei...

Die 6.80 ist übrigens jetzt auch für die 7412 verfügbar, auch wenns off topic ist...
 
:doktor: Faxversand = Bildversand (TIFF) über Quietschetöne
Das bedeutet zum Beispiel: Text/Bild/Hardcopy muss in eine (s/w,Raster) Grafik umgewandelt werden
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.