HowTo: Neues Anmeldeverfahren Firmware ab xx.04.74 (SessionID)

[TelefonSparbuch]

Wer mit einem eigenen Script auf Inhalte der AVM-Fritzbox Seiten zugreifen muss, muss zuvor das Login durchführen.

AVM hat das Login Verfahren verändert.
Info von AVM dazu:
http://www.avm.de/de/Extern/Technical_Note_Session_ID.pdf

Da die MD5 Prüfsumme für den Response Wert über den 16Bit Zeichensatz durchgeführt wird, lässt sich das vorhandene md5sum der Box nicht direkt auf den "challenge-passwd"-String nutzen. Der "8-Bit" Zeichensatz muss auf "16-Bit" erweitert werden.

Mit folgendem Scriptteil könnt Ihr die Response-ID beziehen:

response="$(echo -n "$challenge-$passwd" | sed -e 's,\(.\),\1\n,g' | tr '\n' '\0' | busybox md5sum)"

Grüße
Harald

 

[Feuer-Fritz]

Erlärst Du einem Dummy, was das genau heisst bitte ;-)

 

[Nimrod]

Wenn du z.B. in Firefox deine Routerkonfig öffnest und in einem weiteren Tab auf der "falschen Seite" landest dann kann rein theoretisch jemand deinen Router hacken und z.B. alle deine Daten über seinen Server leiten, was das bedeutet verstehst du sicherlich.

Das neue Verfahren soll es ermöglichen sich sicher auszuloggen. Wenn man das GUI verlässt, bisher konnte man ja direkt wieder zurück ohne sein Passwort neu einzugeben wenn eine bestimmte Zeitspanne nicht verstrichen ist.

Wolltest du das wissen oder was der Befehl selbst macht?

 

[Feuer-Fritz]

oder was der Befehl selbst macht?

Genau das wollte ich wissen ;-)

 

[buehmann]

Hallo Harald,

danke für die wertvollen Hinweise.

Andreas

 

[cuma]

In dem pdf hat AVM da echt schön erklärt. Sowas bin ich bin der Firma garnicht gewohnt. Anscheinend haben sie Angst vor den 1000en Anfragen, weil Programm xy nicht mehr funktioniert :-]

Hab mal nach dem Ersteller des Dokuemtes "Jan Schöllhammer" gesucht. Vielleicht sollte man sich den Namen merken... Der hat eine interessante Einstellung, so garnicht AVM-like.

von hier:

Ein guter Sicherheitsstandard lebt davon, dass er zuvor in der breiten Öffentlichkeit diskutiert wird. So können Angriffspunkte bereits im Vorfeld ausgeschlossen werden, wie es bei WPA der Fall war. Was hingegen nie klappt, sind proprietäre Lösungen, da kommt in der Regel Security by Obscurity heraus. Das bedeutet, dass so eine Lösung so lange sicher ist, wie man nicht das Geheimnis kennt. Und das dauert in der Regel nicht sehr lange.

netzwelt: Eine letzte Frage noch: Wenn Sie einen Router kaufen würden, der nicht von AVM ist, welches Gerät würden Sie wählen?
Schöllhammer: Ich würde natürlich nur Geräte von AVM nehmen. Spaß beiseite: Ich denke, ich würde den Linksys WRT 54G nehmen, weil der eine große Open-Source-Gemeinde hat und ich privat ja gerne mit Linux und solchen Dingen herumspiele.

 

[ao]

Aus diesem Thread (dort wäre meine Frage aber OT)

AVM hat mit den Firmware-Versionen ab xx.04.74 ein neues Login-Verfahren für die Weboberfläche der Fritzbox eingeführt.

Die aktuelle FW für die 7170 ist die 29.04.70, die Labor hat die 29.04.99.
Heisst das, dass bei der 7170 noch alles beim Alten bleibt - zumindest, wenn man keine Labor-FW nutzt?

 

[audiopro]

Die 7170 ist davon (noch) nicht betroffen.

 

[Nimrod]

@cuma:

Der Artikel den du verlinkt hast ist ja von 2006, da galt WPA noch als sicher. Mittlerweile wird das von vielen nicht mehr so gesehen, mit nen paar gekoppelten GPUs kann man ein Wörterbuch-Passwort auch bei WPA in Minuten knacken. Lange und komplexe Passwörter wie von ihm vorgeschlagen sind natürlich immer noch recht sicher aber davon kann man ja leider bei der breiten Masse nicht ausgehen. Zusätzlichen Schutz vor Missbrauch bringt es wenn der Anbieter zusätzliche Schutzmechanismen anbietet.

Bei 1&1 gibt es seit einiger Zeit eine Sperre für Servicerufnummern die man im Portal einrichten kann. Sperren für andere DNS-Server ausser dem vom Anbieter wären auch denkbar, falls das technisch überhaupt möglich ist. So kann man verhindern dass ein manipulierter Router extra Kosten verursacht oder ausspioniert wird.