Umfrageergebnis anzeigen: Soll der komplette Exploit (Shell-Code oder HTML-Seite mit JS) veröffentlich werden?

Teilnehmer
90. Du darfst bei dieser Umfrage nicht abstimmen
  • Könnte schon lange veröffentlicht sein

    13 14,44%
  • Sollte jetzt veröffentlicht werden

    61 67,78%
  • AVM sollte über die Veröffentlichung entscheiden

    16 17,78%
Seite 4 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 61 bis 80 von 91

Thema: Disclosure or no disclosure?

  1. #61
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    390
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Wollte halt nur nicht als "der Depp" dastehen, den man am Nasenring per E-Mail weiter durch die Manege zieht.
    Spätestens an dieser Stelle könnte man aber auch mal selbstkritisch hinterfragen, ob es einem nun vorrangig um die Sache (also Fritzbox-Nutzern zu einem sicheren/besseren Produkt zu verhelfen) oder um das persönliche Befinden (sich nicht wie ein "Depp" vorkommen) geht. Bei letzterem wird weder AVM noch dieses Forum eine wirklich befriedigende Antwort liefern können.

  2. #62
    IPPF Achttausend-VIP Avatar von koyaanisqatsi
    Registriert seit
    24.01.2013
    Ort
    Berlin (Neukölln)
    Beiträge
    8.955
    Hat er doch schon, und hier lang und breit, seitenweise dargelegt.

    Die blumige Andeutung auf den Ring in der Nase
    Assoziiere ich eher mit: Informationsmittelalter
    Wie "Damals" werden "Wahrheiten" aggressiv gehortet und möglichst auch nicht mehr rausgegeben.
    Wer sich unbeliebt macht wird "exkommuniziert".
    Geändert von koyaanisqatsi (15.02.2017 um 16:17 Uhr)
    Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt (Albert E.) mfg koy
    Anschluss: 1&1 Komplett VDSL 50/10 DS
    Fritz!Box: 7560 FRITZ!OS 6.83 & 6.52 & 1x 7112 (WDS Basis), 3x 7113 (Repeater)
    Telefonie: Rotes Posttelefon, 2x snom320-SIP 8.7.5.44, 2x (billig) DECT, 1x Fax (MuFuG)

    SmartHome: SensorAndSwitch auf Rasperry Pi mit OSMC/KODI (Jessie/Sarge)

  3. #63
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    Der letzte längere Beitrag begann halt als Antwort auf #61 und die dort vermutete Annahme bei AVM: "den kriegen wir schon per E-Mail gemanaged".

    Das mit dem Nasenring ist die bekannte Metapher in Bezug auf den Tanzbären, den man durch die Manege zieht und wegen der schriftlichen "Nähe" zwischen "Manege" und "manage" gewählt worden.

    Ich hoffe mal, es geht hier dann auch wirklich um die Thematik dieses Threads beim "Einwurf von der Seitenlinie" (das wäre m.E. - ungeachtet des ursprünglich von mir gewählten Titels - dann "AVM und die Behandlung von Schwachstellen oder was heißt "responsible disclosure" im Kontakt mit AVM genau und wie sollte oder muß man sich verhalten?") und nicht um eine Fortführung von Auseinandersetzungen an anderen Stellen.

    Ob man mich nun als "Deppen" ansieht oder nicht, kann ich ohnehin nur mit (hoffentlich) vernünftigen Reaktionen und logisch vorgetragenen Argumentationsketten beeinflussen und da gebe ich mir zumindest Mühe. Es muß auch niemand lesen ... bei manchem bin ich sogar dankbar, wenn ich in seiner "Ignorieren"-Liste stehe.

    Hat jemand inhaltliche Fragen/Anmerkungen/Korrekturen, immer her damit ... bei der "Ergründung meiner Motive" kann man aber auch schnell Schiffbruch erleiden (sind mir ja manchmal selbst nicht so ganz klar) und diese Motive sollten ja auch immer noch keine Auswirkungen darauf haben, ob man ein Argument zutreffend und nachvollziehbar findet oder nicht.

    Daß jeder die Argumentation sucht, die seiner Meinung (und meinetwegen auch seinen Motiven) am ehesten dient, ist "natürlich" - aus einem Argument direkt auf ein Motiv zu schließen, ist fragwürdig ... wird aber auch immer wieder gerne zur Diskreditierung des Opponenten angewandt; Beispiel: "Du bist gegen die Einrichtung von Netzsperren? Du findest es also richtig, wenn Kinderpornographie verbreitet wird und hast Angst, damit selbst nicht mehr daran zu gelangen." - ein vollkommen unzulässiger Schluß aus einer Haltung samt ggf. vorgetragener Argumentation an der einen Stelle auf eine Motivlage an einer anderen und auch eine nicht gerade unbekannte Art einer Scheinargumentation: https://de.wikipedia.org/wiki/Typen_...lechter_Motive ... bis hin zum "argumentum ad hominem".

  4. #64
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    390
    Wie bei vielen Dingen kann die Überlegung hilfreich sein, was man denn nun eigentlich erreichen will. Wenn es Dir darum geht, dass AVM Deinen Meldungen mehr Gewicht beimisst, dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein. Oder würdest Du selbst auf solche Mittel im Sinne dessen, der sie anwendet, reagieren?

    Hilfreich könnte ggf. sein, wenn Du Dich in den Kontakten mit AVM kürzer hältst - sofern Du da ähnlich ausschweifend warst wie hier im Forum.

    Aber auch dann musst Du damit rechnen, dass man bei AVM die Dinge anders einschätzt als Du. Und dann kann man sich die Frage stellen, ob es angebracht ist, AVM zu Deiner Sicht der Dinge "zwingen" zu wollen.

    Zitat Zitat von PeterPawn Beitrag anzeigen
    Es muß auch niemand lesen ... bei manchem bin ich sogar dankbar, wenn ich in seiner "Ignorieren"-Liste stehe.
    Wenn das auch für AVM gilt, kannst Du Dir obige Überlegungen freilich sparen.

  5. #65
    IPPF Achttausend-VIP Avatar von koyaanisqatsi
    Registriert seit
    24.01.2013
    Ort
    Berlin (Neukölln)
    Beiträge
    8.955
    Worum es ging?

    Ich will es mal so beschreiben...
    (Movie: Darkstar)
    Astronaut: Bombe, du hattest eine Fehlfunktion, fahre dich bitte wieder ein...
    Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt (Albert E.) mfg koy
    Anschluss: 1&1 Komplett VDSL 50/10 DS
    Fritz!Box: 7560 FRITZ!OS 6.83 & 6.52 & 1x 7112 (WDS Basis), 3x 7113 (Repeater)
    Telefonie: Rotes Posttelefon, 2x snom320-SIP 8.7.5.44, 2x (billig) DECT, 1x Fax (MuFuG)

    SmartHome: SensorAndSwitch auf Rasperry Pi mit OSMC/KODI (Jessie/Sarge)

  6. #66
    IPPF-Fan
    Registriert seit
    27.05.2011
    Beiträge
    254
    Zitat Zitat von robert_s Beitrag anzeigen
    Wie bei vielen Dingen kann die Überlegung hilfreich sein, was man denn nun eigentlich erreichen will. Wenn es Dir darum geht, dass AVM Deinen Meldungen mehr Gewicht beimisst, dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein. Oder würdest Du selbst auf solche Mittel im Sinne dessen, der sie anwendet, reagieren?

    Hilfreich könnte ggf. sein, wenn Du Dich in den Kontakten mit AVM kürzer hältst - sofern Du da ähnlich ausschweifend warst wie hier im Forum.

    Aber auch dann musst Du damit rechnen, dass man bei AVM die Dinge anders einschätzt als Du. Und dann kann man sich die Frage stellen, ob es angebracht ist, AVM zu Deiner Sicht der Dinge "zwingen" zu wollen.
    So sieht's aus. Keine langen Texte. Einfach melden mit Ankündigung "Veröffentlichung Datum X" und dann durchziehen. Keine Diskussionen, die sich nicht auf rein technische Aspekte der Lücke beziehen.

  7. #67
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    @sneaker2:
    Ich bin mir nicht sicher, ob das die Quintessenz dessen ist, was @robert_s in seinem Beitrag zum Ausdruck bringen wollte.

    @robert_s:
    Ich will AVM nicht zu meiner (ausschließlich persönlichen) "Sicht der Dinge" zwingen ... das wäre in der Tat unangebracht.

    Ich mache auf das "übliche Vorgehen" aufmerksam (die "best practices" des BSI richten sich auch nicht nur an AVM oder speisen sich nur aus meinen Ansichten) und habe tatsächlich das Ziel, ein Umdenken herbeizuführen - aber auch das nicht als "Selbstzweck", sondern weil ich die damit dann sicherlich einhergehenden Änderungen als vorteilhaft (sogar für beide Seiten, auch wenn das vordergründig vielleicht nicht so einfach einzusehen ist) ansehen würde (auch das geht eben wieder nicht nur mir so). Auch das also nicht nur, weil ich das generell für "richtig" und "angebracht" halte (nur deshalb, weil es irgendwo so niedergeschrieben wurde), sondern weil ich darin erhebliche Vorteile (für alle) sehe, die die Nachteile deutlich überwiegen.

    Entsprechende Argumentationen meinerseits gehen auch nicht erst mit diesem Thread los - solche Ansichten vertrete ich (seit mind. drei Jahren mehr oder weniger regelmäßig) auch in anderen Threads und Beiträgen und das würde ich bei Bedarf auch ggü. anderen Herstellern so machen, das richtet sich nicht gegen AVM "im Speziellen".

    Lediglich die umfangreiche Beschäftigung mit der AVM-Firmware und damit verbunden der häufiger erforderliche Kontakt zur "AVM-Security" lassen diesen Eindruck entstehen, wobei man mir vermutlich auch den Vorwurf eines eindimensionalen "AVM-Bashings" eher nicht machen kann.

    Ich versuche schon auch bei meiner Kritik (die sich auch immer gegen bestimmte Punkte richtet und (hoffentlich) auch immer versucht, eine Begründung zu liefern) noch einen halbwegs vernünftigen Standpunkt einzunehmen (zumindest aus meiner Warte) und nicht einfach "in blinder Wut" auf alles loszugehen, was von AVM kommt.

    Und falls die Überlegungen in #68 sich immer noch um meine Motive drehen sollten (ich gebe zu, daß ich da "gebranntes Kind" bin) ... die Frage nach den Zielen (was soll erreicht werden) hat immer noch nichts mit dem Motiv (warum soll es erreicht werden) zu tun. Mag sein, daß ich da Deine Beiträge seit einer anderen Diskussion "mit Vorbehalten" lese und etwas hineininterpretiere, was Du gar nicht meinst ... aber auch dann kann diese Klarstellung ja nicht wirklich schädlich sein.

    - - - Aktualisiert - - -

    Zu früh auf "Antworten" gedrückt ... bei der Aufzählung Deinerseits
    Zitat Zitat von robert_s
    [...] dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein.
    hätte ich noch die Frage, was denn aus Deiner Sicht die denkbaren Alternativen wären?

    Gleich "full disclosure" (das braucht dann auch keine weitere Kommunikation) oder doch "laß die doch machen, wie sie selbst es für richtig halten" und nach der einmaligen(?) Meldung dann das Thema komplett abhaken? Wenn letzteres, wie lange dann genau? Bis zum Ablauf einer (ebenfalls einmalig) angekündigten Frist (welcher genau?) oder "auf ewig"?

    Ich will nur verstehen, welche Alternativen Du Dir genau vorstellst und das möglichst konkret.

  8. #68
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    390
    Zitat Zitat von PeterPawn Beitrag anzeigen
    hätte ich noch die Frage, was denn aus Deiner Sicht die denkbaren Alternativen wären?
    Da man als "Outsider" per se nur sehr begrenzte Wirkung haben kann: Eine Bewerbung bei AVM, um dann als Mitarbeiter die Dinge zu bewegen. Von außen weiß man ja nicht woran es hakt: Mangelnde Fachkompetenz, betriebswirtschaftliche Zwänge, schlecht optimierte Prozesse oder Strukturen, etc. Wenn man das alles mal sieht, kann man sehen, wo man ansetzen kann.

    Ansonsten kann ich aus meiner Erfahrung als "Outsider" bei einem grossen Softwarekonzern, der diesem bei einem Produkt schon früh sagte, dass die Idee zwar gut ist, aber der Entwicklungsansatz in die falsche Richtung geht, und nach Jahren dann hören durfte, dass Erhebungen ergeben hätten, dass das Nutzerverhalten tatsächlich nicht das von ihnen erwartete ist - sagen, dass es wenig bringt, es nur besser zu wissen oder auch zu können. Man muss es machen. Oder eben ganz bleiben lassen. Das Produkt wurde nach dieser Erkenntnis übrigens nicht etwa nach meinen Vorschlägen verbessert, sondern eingestellt...

  9. #69
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    Na ja, daraus kann ich jetzt zugegebenermaßen nicht ableiten, was Du in meinem Falle nun konkret für besser halten würdest ... das mit der Bewerbung bei AVM ist ja mehr "ein Scherz" (abgesehen davon, ist das Leben als "Angestellter" auch nicht jedermanns Sache und als "Externer" wird man in solchen Fragen ohnehin nichts bewegen können, wenn man nicht genau für eine solche "Beratung" engagiert wurde - das stelle ich mal als kühne These in den Raum) und irgendwo ist es am Ende für die Berechtigung zur Kritik eines Ergebnisses auch vollkommen egal, wo nun die Ursachen für dieses Ergebnis liegen mögen (solange es sich nicht um "objektive Unmöglichkeiten" handelt).

    Das wäre dann wieder Sache des Kritisierten, sich seinerseits zu überlegen, wie er (bei vorhandenem Interesse) die kritisierten Punkte am besten abstellt oder ändert.

    Auch ein "mach' es erst einmal besser, dann kannst Du mitreden" ist ja am Ende noch kein wirkliches Argument dafür, warum man sich selbst mit dem Erreichten zufrieden gibt (das kann sogar die Stellung der "prima inter pares" sein) und einer berechtigten Kritik damit zu begegnen, der Kritiker solle es erst einmal besser machen, gibt ja indirekt mehr oder weniger sogar zu, daß die Kritik berechtigt ist (oder es zumindest sein könnte), sonst könnte/würde/müßte man ihr ja anders begegnen.

    Das gilt am Ende auch für die Annahme (auch wenn das so nicht explizit im zweiten Absatz in #72 steht, könnte man ja beim "Weiterdenken" auf diese Idee kommen), ich könnte (oder wollte auch nur) nun meinerseits selbst ein Gerät wie die FRITZ!Box entwickeln und anbieten. Das disqualifiziert mich aber auch noch nicht automatisch, wenn es um die Kritik von Schwachstellen (in der Firmware und auch im Handling von Schwachstellen selbst) geht.

    Wobei ich bei einer FRITZ!Box mit einer komplett unter einer OpenSource-Lizenz stehenden Firmware tatsächlich schwach werden könnte und an einigen Stellen meinerseits Verbesserungen (zumindest aus meiner Sicht) dann auch konkret vorschlagen würde ... das geht bei der automatischen Verwendung einer TLS-Verschlüsselung beim Zugriff auf das GUI (auch von intern) los und setzt aber den Zugriff auf die Quellen des "ctlmgr" von AVM voraus, denn der ist (über ein paar Bibliotheken inzwischen, denn das hat AVM tatsächlich in den letzten 3-4 Jahren etwas "entflochten") für die Bedienung des HTTP-Interfaces zuständig.

    Kleines Update am Rande ... AVM "redet" zumindest soweit noch mit mir (das habe ich im letzten längeren Beitrag erwähnt, daß da noch etwas "aussteht"), daß ich heute um 16:00 Uhr eine E-Mail mit der der Bestätigung und der Zuweisung einer Incident-Nummer für eine am 10.02.2017 gemeldete RCE-Schwachstelle erhalten habe - ich habe das GitHub-Repository entsprechend geändert (unterhalb von "reported_threats").
    Geändert von PeterPawn (17.02.2017 um 16:45 Uhr) Grund: Stottern beseitigt

  10. #70
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    390
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Auch ein "mach' es erst einmal besser, dann kannst Du mitreden" ist ja am Ende noch kein wirkliches Argument dafür,
    So war das aber überhaupt nicht gemeint. Ich habe selbst die Stufen "externer Hobbyist", "externer Berater", "interner Berater" bis "interner Entwickler" (bei teilweise unterschiedlichen Unternehmen) durchlaufen und kann sagen, dass direkt selbst anzulegen nach meiner Erfahrung am wenigsten frustrierend ist.

    Also das mit der Bewerbung war durchaus ernst gemeint. Du kennst die Software-Interna ja schon gut genug, dass Du da sofort produktiv mitarbeiten könntest. Sofern Du Dich mit denen auf eine geeignete Rolle und Bezahlung einigen, sowie Dich in das bestehende Team einfügen könntest, wäre das IMHO die ideale Lösung.

  11. #71
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Zitat Zitat von koyaanisqatsi Beitrag anzeigen
    Worum es ging?

    Ich will es mal so beschreiben...
    (Movie: Darkstar)
    Astronaut: Bombe, du hattest eine Fehlfunktion, fahre dich bitte wieder ein...
    Okay - ist ein wenig OT, aber: Dass Klassiker wie Darkstar noch Erwähnung finden ist bemerkenswert!

  12. #72
    IPPF Achttausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    8.550
    Den Fall einfach hier hinzufügen (lassen).
    Da fühlt er sich garantiert nicht einsam

    http://insecure.org/search.html?q=avm
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.242 +++ 3xSL750H/116.063.00 +++ GR/2.0

  13. #73
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    @robert_s:
    Denkt man das einfach mal weiter ... mit einem unterschriebenen Arbeitsvertrag geht man gleichzeitig auch Verpflichtungen zur Geheimhaltung von Interna des Arbeitgebers ein - ebenso mit einem NDA als "Externer".

    Wenn sich dann aber auch noch nichts ändert (wenn der Wille dazu gar nicht vorhanden ist, gäbe es dafür auch erst einmal keinen Anlaß) und man damit nur einen "Maulkorb" hat (bei einem Angestellten würde auch keine AG-seitige Kündigung innerhalb einer Probezeit den Anspruch auf Vertraulichkeit aufheben), was hat man damit gewonnen?

    Das mit dem NDA habe ich ja genau aus solchen Gründen abgelehnt ... ich habe es (anderswo) auch schon erlebt, daß damit Kritiker generell "mundtot" gemacht wurden (mit einem klitzekleinen Beratungsauftrag und einem allgemeinen NDA, das mit dem Auftrag praktisch nichts zu tun hatte) und wollte es bei AVM gar nicht erst auf einen Versuch ankommen lassen.

    Ich behaupte also ausdrücklich nicht, daß man es bei AVM tatsächlich auch so gemacht hätte; aber es gab Formulierungen ("... tritt mit ihrer ordnungsgemäßen Unterzeichnung durch beide Parteien in Kraft ..."), die - selbst wenn es nie zu irgendeinem Auftrag oder irgendeiner "Preisgabe" von wirklich wichtigen Informationen (schon die Personalstärke einer Entwicklungsabteilung kann so ein Internum sein) gekommen wäre, weil man sich nicht einigen konnte über andere Konditionen - für die nächsten acht Jahre (3 + 5) bei jedem Beitrag hier das Damoklesschwert einer vereinbarten Vertragsstrafe (i.H.v. 100 TEUR) hätten über mir schweben lassen und das wollte/will ich nicht.

    Auch aus dieser Weigerung speist sich sicherlich zu einem gewissen Teil der Eindruck bei AVM, der "fame" hier wäre für mich das alles andere Überlagernde - weil ich auch weiterhin hier schreiben wollte und zwar ohne mir bei jedem Wort überlegen zu müssen, ob ich auch in der Lage wäre, die Zuordnung zu einem der fünf "Ausnahmepunkte" in der Gliederung "Geheimhaltung" nachzuweisen, denn diese Beweislast sollte nach dem Text dieses Entwurfs dann derjenige tragen, der sich auf eine dieser Ausnahmeklauseln berufen wollte und nicht etwa derjenige, der in einer "Veröffentlichung" den Bruch der Vereinbarung sehen würde.

    Schon zu diesem Zeitpunkt wäre es mir vermutlich schwergefallen, im Vorfeld sämtliche bereits bestehenden (Er-)Kenntnisse in einer Form zusammenzufassen (dann könnte ich auch gleich ein Buch "Die FRITZ!Box aus meiner Sicht und Erfahrung" schreiben und würde sicherlich immer noch etwas auslassen müssen), die mir im Nachhinein den Nachweis ermöglicht hätte, daß diese Kenntnisse schon zuvor bestanden (und mal richtig, aber durchaus auch mal falsch waren) - das war einer der "Ausnahmetatbestände".

    [ Inzwischen weiß ich, daß aus meinen ersten Telefonaten mit jemandem bei AVM ein "Zettel" mit 13 Punkten für mögliche (eher konkrete, denn bei "möglich" teste ich normalerweise lieber erst noch einmal, bevor ich mich sehenden Auges lächerlich mache mit einer unwahren Behauptung) Schwachstellen entstanden ist ... ich weiß bis heute nicht, was konkret auf diesem Zettel stand (das waren längere "Plaudereien" am Telefon und was genau mein Gegenüber davon einer Notiz für wert hielt, kann ich nicht einschätzen) und ob überhaupt etwas davon bzw. was dann genau nun wegen meiner "Meldung" behoben wurde oder was ohnehin schon bekannt und für eine Änderung vorgesehen war. Damals habe ich auch auf Nachfrage nur die Auskunft erhalten, ich könne ja meinerseits die mir bekannten Stellen nun regelmäßig prüfen, dann würde ich es schon merken, wenn etwas behoben wurde. Ich kann also auch nicht einschätzen, ob das "vollständig" war o.ä. ... selbst wenn ich mich in der Regel an solche Gespräche recht gut erinnern kann, fasse auch ich in meinen nachträglich angefertigten Notizen (das erste Telefonat dauerte 3:19 h, die nächsten drei (14 Wochen später) dann: 2:44 h, 0:41 h, 2:43 h) das dann schon einmal etwas zusammen und da mag dann der eine oder andere Punkt meinerseits vergessen worden sein - aber eher bei meinem eigenen Notieren, als beim "Erzählen" (13 Punkte in 199 Minuten sind auch nicht gerade viel (angenommen, es war alles aus dem ersten Telefonat), selbst wenn man den Austausch von "Weltanschauungen" noch dazurechnet). ]

    Das "erst einmal besser machen" habe ich erst kürzlich an anderer Stelle (von jemand anderem) wieder gelesen und das schwang so ein wenig in dem "Man muss es machen. Oder eben ganz bleiben lassen." für mich auch mit - deshalb trotzdem mein expliziter Verweis darauf (#73, Abs. 4), daß es bei Dir so direkt nicht stand und sich erst beim "Weiterdenken" als Folgerung ergeben würde oder zumindest könnte.

    @MuP:
    Wieviele Kunden von AVM oder auch "FRITZ!Box-Kenner" lesen denn bei "insecure.org" (wo ja auch die "full disclosure"-ML dazugehört)? Abgesehen davon ruft das ggf. (sogar in meinen Augen) wirklich wieder die Falschen auf den Plan bzw. weckt bei Leuten ein Interesse an der Sache, die ich nicht unbedingt mit der Nase darauf stoßen will.

    Insofern ist so eine Diskussion in einem deutschen Internet-Forum immer noch etwas anderes und sicherlich "unterschwelliger" - außerdem dürfte das die Entscheidung für ein Gerät außerhalb des D/A/CH-Gebietes (meinetwegen noch die nicht deutschsprachigen Nachbarn in B oder NL dazugerechnet, schon in F ist damit wenig Staat zu machen, (süd-)östlich von D weiß ich nicht genau) nur unwesentlich beeinflussen, da gehört AVM sicherlich nicht unbedingt zu den zuerst in Erwägung gezogenen Alternativen (ich will damit AVM auch nicht zu nahe treten, aber man muß ja auch realistisch bleiben). Trotzdem findet sie hier m.E. die richtige Zielgruppe - hätte AVM selbst ein User-/Kunden-Forum, wäre das ggf. ein besserer Ort.

  14. #74
    IPPF Achttausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    8.550
    Das war 1 Vorschlag, keine "Weisung"


    Die Streuung muss natürlich größer sein.
    Aber da kennst du dich sicherlich besser aus.

    Und ... die "bösen Buben" lesen hier garantiert auch mit, nachdem der Thread bereits die Google-Suchworte lieferte.
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.242 +++ 3xSL750H/116.063.00 +++ GR/2.0

  15. #75
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    Zitat Zitat von MuP Beitrag anzeigen
    Und ... die "bösen Buben" lesen hier garantiert auch mit, nachdem der Thread bereits die Google-Suchworte lieferte.
    Ich meinte ja eigentlich auch nicht "unbemerkt" ... dann käme sicherlich als Attribut auch noch "umsonst" hinzu - trotzdem garantiert mit weniger "Aufsehen", als wenn das heise.de oder Golem oder teltarif.de (die haben aber exzellente Kontakte zu AVM, afaik) diskutiert würde (zumindest bei heise.de käme es dann wohl früher oder später, wenn es auf "full disclosure" auch nachzulesen wäre).

    Ist auch ein Grund, warum ich bisher nur belle und nicht beiße ... solange es vorwärts geht (angesichts der Firmware-Veröffentlichungen in dieser Woche bin ich aber durchaus skeptisch, ob das in der nächsten Woche noch etwas wird für die verbleibenden Modelle), muß man ja nicht auf "Teufel komm' raus" versuchen, den größtmöglichen "Schaden" zu ermöglichen. In dieser Woche kamen nach meiner (vollkommen freiwillig geführten ) Liste nur zwei Versionen heraus, einmal die für die 7581 und einmal für die 7430.

  16. #76
    IPPF-Fan Avatar von HarryHase
    Registriert seit
    16.02.2006
    Ort
    Belgien
    Beiträge
    496
    Ich habe jetzt den ganzen thread gelesen und habe viele Berührungspunkte zur Softwareentwicklung. Für die Reaktion von AVM gibt es für mich nur zwei Interpretationen:
    1) Sie nehmen @Peter nicht ernst
    2) Es ist nicht an der richtigen Stelle angekommen
    Wie ich aber gelesen habe hat Peter schon für AVM gearbeitet daher dürfte 2) ausscheiden.

    Ich male mal einen anderen Fall:
    Was würde man(wir, die Presse) Peter vorwerfen wenn jemand Drittes Morgen mit diesem exploit / dieser Lücke einen ernsthaften Schaden oder Kosten anrichtet?
    AVM - 7580 / 7360 ; an Belgacom VDSL2, div. VoIP Provider
    11 x RaspberryPI (2,3,Zero,ZeroW) mit Raspbian und SensorAndSwitch

  17. #77
    IPPF Fünfhunderter Avatar von Ohrenschmalz
    Registriert seit
    19.04.2006
    Beiträge
    540
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Insofern ist so eine Diskussion in einem deutschen Internet-Forum immer noch etwas anderes und sicherlich "unterschwelliger" - außerdem dürfte das die Entscheidung für ein Gerät außerhalb des D/A/CH-Gebietes (meinetwegen noch die nicht deutschsprachigen Nachbarn in B oder NL dazugerechnet, schon in F ist damit wenig Staat zu machen, (süd-)östlich von D weiß ich nicht genau) nur unwesentlich beeinflussen, da gehört AVM sicherlich nicht unbedingt zu den zuerst in Erwägung gezogenen Alternativen (ich will damit AVM auch nicht zu nahe treten, aber man muß ja auch realistisch bleiben). Trotzdem findet sie hier m.E. die richtige Zielgruppe - hätte AVM selbst ein User-/Kunden-Forum, wäre das ggf. ein besserer Ort.
    Bissl OT: Ich frag mich sowieso, was außerhalb von D/A/CH genommen wird, wenn man die Funktionalität einer Fritzbox abbilden will. AiO-Geräte anderer Hersteller hab ich auf rasch nicht ausfindig machen können. Stellen die sich im Ernstfall 4 Geräte nebeneinander hin (xDSL-Modem, (WLAN)-Router, Firewall, SIP-Adapter)?

    edit: Doch was gefunden...https://www.amazon.de/dp/B01I5NUY54
    Mal was anderes... :P
    Geändert von Ohrenschmalz (17.02.2017 um 19:46 Uhr)
    Anschluss: 1&1 Doppel-Flat 50.000 (25000/5000 geschaltet...danke Telekomik...)
    Hardware:Fritz!Box Phone WLAN 7362 SL FRITZ!OS 06.83, Bluetooth, Initio HS06THB 1.8" 60 GB USB-HDD, 320 GB USB-HDD, Ricoh 1210N USB
    DSL-Modem an LAN1: Sphairon AR860 mit Firmware RouterTech_3.6.0D_20080723_2.60_AR7RD
    Telefone: FON1 Siemens Gigaset A140 über DECT, FON 2 Fritz C3 über DECT, FON 3 Siemens Gigaset A58H über DECT, altes Android-Handy über Zoiper, Fax Intern über Fritz!Box
    Anrufbeantworter: intern über Fritz!Box
    Fritz!Box Software: jfritz 0.7.5 REV.23
    Kaffeemaschine: Philips Senseo

  18. #78
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    Ich habe gerade aktuell mit der Aufgabenstellung zu tun, mehrere Swisscom-Anschlüsse (1x analog, 2x ISDN, jeweils mit VDSL) auf NGN umzurüsten, weil die Swisscom langsam aber sicher darauf besteht. Die liefern eben ihre "Internet-Box 2" mit (durchaus kein ganz schlechtes Gerät, wenn man nur die Funktionsbeschreibung liest und das dann am Ende auch in der Firmware alles wirklich noch funktioniert), aber da gibt es eben auch nur 2 interne analoge Anschlüsse (RJ11) und eine integrierte DECT-Basisstation (keine Ahnung, ob die Cat-iq 2.0 kann) ... alles mehr oder weniger für die Swisscom "auf Bestellung" gefertigt (von Askey) und die Firmware liefern wohl die Firmen Soft@Home (https://www.softathome.com/) und Vestiacom (http://www.vestiacom.com/) - habe ich jedenfalls irgendwo gelesen (und mir notiert).

    Nun mag es zwar sein, daß man bei der Swisscom mit anderen Lösungen nicht so ganz zufrieden war oder die nicht rund liefen, aber wenn man tatsächlich den Aufwand der Entwicklung und Betreuung so einer eigenen Box in Angriff genommen hat, muß man sich ja entweder bei den vorhandenen Lösungen nicht so ganz wiedergefunden haben oder man verspricht sich dort (in der Schweiz gibt es m.W. kein Gesetz zur freien Routerwahl) von einer solchen Investition (es gibt sogar eine Plugin-Schnittstelle für ein "SmartHome"-(Hardware-)Modul) zumindest in der Zukunft ein Geschäft bzw. einen Vorteil ggü. einer anderen Lösung.

    Und das ist noch eines der Länder, wo AVM mit dem umfangreichen deutschen Support zumindest bei einer der "Amtssprachen" hätte punkten können ... irgendetwas hat wohl die Swisscom auch davon abgehalten, an dieser Stelle voll auf AVM-Produkte zu setzen. Was das gewesen sein mag, weiß ich auch nicht ... es ist halt im Ergebnis einfach so.

    Das eröffnet nun ein weites Feld für Spekulationen ... das kann ja bei Firmware-Problemen der (inzwischen ja wohl vorhandenen) 5490 schon losgehen (warum sollte die weniger Probleme bei der Einführung machen, als die 7580 oder die 7560) und bei nicht eingehaltenen Zusagen für "Termine" von Neuentwicklungen (wir erinnern uns alle an Diskrepanzen zwischen Ankündigungen und Verfügbarkeit von verschiedenen FRITZ!irgendwas-Modellen) enden.

    "Offizielle Auskünfte" kriegt man m.W. dort nicht - weder von der Swisscom (am Ende ja auch ein ehemaliger Staatskonzern (Nachfolgerin der PTT) wie die Telekom in Deutschland) noch habe ich von AVM zu solchen Themen (Zusammenarbeit mit der Swisscom oder der A1) jemals etwas gefunden (aber auch nicht extrem intensiv gesucht) - auch der Umstieg der Telekom in D auf andere Hersteller (sicherlich auch billigere) bei den Speedport-Lieferanten wird sicherlich seine Gründe gehabt haben.

    Selbst wenn die "Internet-Box 2" in der Hardware das DSL-Modem und den Fiber-Anschluß integriert (was es bei AVM m.W. bisher so noch nicht gibt), sind solche Hardware-Komponenten ja nun nicht so teuer, daß es sich gar nicht lohnen würde, Geräte zu entwickeln, wo mit ziemlicher Sicherheit die eine Schnittstelle brachliegen wird beim Einsatz im "normalen Haushalt" (ob die parallel nutzbar wären, weiß ich gar nicht).

    Wobei es bei den "Verwandten" der Speedport-Modelle dann auch wieder nicht sooo finster aussieht, die FRITZ!Box bietet halt die höchste "Integrationsdichte" bei den Services - aber das findet ja auch nicht jeder wirklich gut (oder muß das gar tun) -, was aber noch nicht heißt, daß es gar keine Geräte gäbe. Die Verwendung von internem oder externem ISDN ist ohnehin "etwas speziell" hier in D - was anderen Geräten ggf. fehlt (m.W. der Internet-Box 2 auch), ist ein interner SIP-Registrar.

    Da gehen die Provider vermutlich hin und denken sich, daß sie erstens die Kunden ja gerne selbst mit ihrem (externen) Gesprächen hätten und daß wohl jedes halbwegs aktuelle SIP-Telefon auch mehr als einen Account verwalten kann und dann kann man das auch gleich beim Provider direkt anmelden. Die Funktion "interne Telefonanlage" ist ja auch nicht unbedingt der Primärzweck so eines Routers - abgesehen davon kann das fast jede DECT-Basis auch schon wieder (für die bei ihr angemeldeten Telefone).

  19. #79
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    390
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Wenn sich dann aber auch noch nichts ändert (wenn der Wille dazu gar nicht vorhanden ist, gäbe es dafür auch erst einmal keinen Anlaß) und man damit nur einen "Maulkorb" hat (bei einem Angestellten würde auch keine AG-seitige Kündigung innerhalb einer Probezeit den Anspruch auf Vertraulichkeit aufheben), was hat man damit gewonnen?
    Wenn AVM keinen Willen zu den Verbesserungen haben sollte, die Du für sie leisten könntest, würde ein Arbeitsverhältnis und entsprechend ein NDA wohl kaum überhaupt zustande kommen.

    Und dass man da auf die Idee käme, jemanden mit dem Vorsatz einzustellen, um ihn nach der Probezeit gleich wieder mit "Maulkorb" zu entlassen, halte ich doch für sehr unwahrscheinlich.

    Ich habe selbst schon so einige NDA unterschrieben und da ging es den Unternehmen immer nur darum, dass man mit ihrem Wissen nicht gleich zur Konkurrenz läuft bzw. sie dann zumindest irgendeine Handhabe und nicht fahrlässig gehandelt haben. "Gemaulkorbt" habe ich mich da nie gefühlt. Bei mir überwog dabei stets die Freude über die Möglichkeit, dafür mehr Einblick und Einfluss zu bekommen.

    Aber muss jeder für sich entscheiden. Prinzipiell hielte ich das jedenfalls für die beste Lösung. Wobei ich natürlich sagen muss, dass ich weder mit Dir noch bei AVM gearbeitet habe, sodass ich nicht weiss, ob das wirklich funktionieren könnte.
    Geändert von robert_s (17.02.2017 um 21:54 Uhr)

  20. #80
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.259
    Gut, nun nehmen wir einfach mal an (nur um weiterzukommen), daß "die beste Lösung" (aus Deiner Sicht) nicht zu haben war oder ist. Also wird es ja wohl auch noch eine zweitbeste geben ... die eine Möglichkeit, sich AVM "anzudienen" und darauf zu hoffen, daß dort ein Interesse besteht, ist zwar streng genommen auch eine Alternative, aber als einzige Idee dann auch etwas schmal für "einen Plan" und in meinen Augen unrealistisch und etwas idealisiert.

    Aber das ist nur mein Standpunkt und ich bestreite nicht, daß es ein denkbarer Weg wäre - wenn es mich "packen" sollte, dann kann ich ja mal probehalber eine Initiativbewerbung an AVM senden und dann hier berichten. Als jemand jenseits der 50 ist das allerdings auch nicht mehr ganz so einfach, sich mit dem Gedanken an ein Leben als Angestellter anzufreunden und auch jeder (halbwegs vernünftige) HR-Verantwortliche müßte sich und seiner Firma davon schon erhebliche Vorteile versprechen, damit so etwas zumindest als "denkbar" durchgeht.

    Aber die Antwort auf die eigentliche Frage, welche Alternativen Du denn sehen würdest, erschöpft sich ja hoffentlich nicht in diesem einzigen Vorschlag, dessen Realisierbarbeit ich persönlich eher nicht sehe und sogar noch schlechter bewerte, als eine "plötzliche Einsicht" bei AVM.

    Du schreibst aber (in dem Text, den ich ein paar Beiträge zuvor als Teil meiner Frage zitiert habe), wie es wohl eher nicht funktioniert (und das ist ja wohl als Kritik an meinem bisherigen Vorgehen zu verstehen oder irre ich mich?) ... also erschöpft sich Dein Vorschlag als Alternativen dann in diesem "Dann versuche doch, bei AVM 'reinzukommen'." oder gibt es noch andere Alternativen (ich schrieb bereits in #71 im Plural)? Wenn ja, welche? Die "Basisfragen" meinerseits zu diesen Alternativen habe ich bereits am Ende von #71 versucht zu stellen.

Seite 4 von 5 ErsteErste 12345 LetzteLetzte

Ähnliche Themen

  1. [Info] GrandStream GXV3275 ist Thema auf "full disclosure"
    Von PeterPawn im Forum GS-Allgemein
    Antworten: 1
    Letzter Beitrag: 08.07.2015, 07:51
  2. Umfrage zu BS v8
    Von gismotro im Forum SOT / Streaming Client
    Antworten: 6
    Letzter Beitrag: 01.06.2009, 16:18
  3. Umfrage: Gigaset.NET
    Von VoIPMaster im Forum Gigaset
    Antworten: 8
    Letzter Beitrag: 09.04.2007, 12:20
  4. [SOT] Umfrage: Wer hat welche Box mit SOT
    Von karl2100 im Forum SOT / Streaming Client
    Antworten: 19
    Letzter Beitrag: 26.02.2007, 00:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •