Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Wenn die vier externe "Sicherheitsfirmen" vorher schon die Möglichkeit gehabt hätten, die beiden Firmwares von vor und nach dem Fix zu vergleichen, hätten sie den Unterschied vielleicht auch gefunden.
Genau das hat hph nach der Veröffentlichung der korrigierten Firmware gemacht.
Leute, bitte etwas mehr Sachlichkeit!
Zum einen wissen wir alle immer noch nicht, wie exakt diese Lücke (im Source) aussieht, wie diese zustande kam.
Zum anderen sprechen die Erkenntnisse der selbsternannten Sicherheits-Gutsmenschen hier für sich, die aus dem einfachen Abruf einer statischen Grafik ein dramatisches Sicherheitsloch machen wollen um dann noch beim Nebelstochern darin ein "Sicherheitscanyon" zu vermuten.
Dann daraus noch einen fiktiven Schadensfall zu konstruieren, um einen fiktiven Schadensersatz einfordern zu wollen und daraus wieder AVM zum Buhmann zu machen, sprengt doch jeden Bezug zur Realität. :?
Reißt euch mal zusammen und unterlasst diese peinlichen Ausrutscher und diese polemischen Bashingversuche
Wir wissen vielleicht nicht, wie der Quelltest "exakt" aussieht, aber es gibt ziemlich genaue Vorstellungen, wie der Quelltext aussieht, der zu so einem Problem führt. Da hier eine Beschreibung der Details nicht erwünscht ist, will ich nicht auf Einzelheiten eingehen, aber inzwischen habe ich auch Google bemüht und etwas gefunden.
Allgemein gesprochen handelt es sich um einen der grundlegendsten Fehler, den man bei der Programmierung eine (Web-)Servers machen kann, nämlich der Eingabe zu vertrauen. Dass dies gleich vier Firmen nicht aufgefallen sein soll, spricht nicht für diese Firmen.
Es musste auch niemand einen Vergleich der Firmware vorher und nachher machen, der Fehler war schließlich schon bekannt, bevor AVM die Updates herausgebracht hat.
Leute wie hph mussten nur auf die einfache Idee kommen, dass eine URL, die man dem Web-Server per HTTPS übergibt, vielleicht auch über HTTP das gleiche bewirkt.
@Novice:
Wer das normal findet, irgendwelche Dateien aus einem vermeindlich geschützten Webserver zu laden,
und irgendwie zu verwenden, dem wird wohl jedes Argument dagegen abgehen.
Schon mal was von Rechteverwaltung gehört? Bitte nicht alles über einen Kamm scheren, Pauschalisierungen sind niemals der Sache zuträglich.
Gemischt mit Halb- oder gar Unwissen ist's dann eine gefährliche Kombination.
Ich kann ja auch ohne Scheckkarte und PIN-Nummer in der örtlichen Sparkasse einen ausliegenden Werbeflyer mitnehmen...
Erst wenn ich den EC-Automaten malträtiere, wird's kriminell. So ist es auch mit den statischen Logos und Grafiken auch - die sind schlicht und einfach öffentlich zugänglich ohne dass ich damit die Fritz kompromittiere.
Gerade Dein Beispiel "http://fritz.box/favicon.ico" zeigt doch nur die virtuelle "Visitenkarte" der Fritzbox, die als Icon in der Adressezeile angezeigt wird. Es macht im Gegenteil zu Deiner Vermutung sogar Sinn, diese auch ohne Anmeldung anzuzeigen. Wie ich ja auch das Sparkassenlogo schon von außen erblicken kann, wenn ich vor der Filiale stehe.
Naja, in Zeiten wo man schon darauf achten muss,
welche Seite man vorher besucht hat,
ist das sowieso vollkommen Banane.
Hoffentlich (haha) geht Google verantwortungsvoll mit den übersendeten Daten um...
Code:
NOTICE Mar 14 17:42:09 [2862]: Proxying refused on filtered url "http://www.google-analytics.com/__utm.gif?utmwv=5.4.8&utms=35&utmn=1317032650&utmhn=www.ip-phone-forum.de&utmcs=windows-1252&utmsr=1024x600&utmvp=1007x510&utmsc=24-bit&utmul=en-us&utmje=1&utmfl=12.0%20r0&utmdt=Nicht%20get%C3%A4tigte%20Anrufe%20%E2%82%AC1%2C50%20-%20%E2%82%AC1%2C80%20pro%20Anruf%20nach%20%2B447&utmhid=845642113&utmr=0&utmp=%2Fshowthread.php%3Ft%3D268489%26p%3D1996735&utmht=1394815342895&utmac=UA-4138689-1&utmcc=__utma%3D242494298.1372834869.1386103172.1394774411.1394810735.450%3B%2B__utmz%3D242494298.1394549831.435.9.utmcsr%3Ddeepbase%3A4200%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2Fhtml%2Fstats.xhtml%3B&utmu=qAAAAAAAAAAAAAAAAAAAAAB~"
I
Eigentlich darf man, ohne einen filternden Proxy zu benutzen, sich ja auch garnicht beschweren.
Denn: Jeder ist für seine Daten selber verantwortlich.
Stimmts?
Man, nimm doch mal Deinen Aluhut ab. Diese Verschwörungstheorien taugen - je nach Gesellschaft - maximal am Stammtisch was, hier in einem technischen Forum sind diese aber völlg fehl am Platze.
Und nun dieser völlig belanglose Einwurf von google-analytics und Hackerool im Rahmen der Sicherheitsdiskussion der AVM-Lücke sind doch auch nur Bashing ohne Bezug nach dem Motto - "ich weiß zwar nichts, aber ich will auch mal was sagen". :?
Bleibe eng am Thema oder unterlasse diese Beiträge.
Update alleine reicht nicht aus, Passwörter MÜSSEN geändert werden!
Hallo zusammen!
Aus aktuell eigener Erfahrung kann ich sagen, dass man wirklich und unbedingt die Passworter ändern muss! Und zwar auch dann, wenn man schon sehr früh Updates usw. ausgeführt hat.
Ich hatte heute zum ersten Mal fremde Anrufe in meinem VoIP-Account nach Senegal. Diese waren nicht über die Fritzbox abgesetzt worden, sondern von einem Softphone von wem Drittes, wie ich erfahren habe vom Provider.
Bisher fühlte ich mich nicht betroffen, weil es keinerlei Aufäligkeiten gab (kein IP-Telefon angelegt, keine komischen Anrufe irgendwo usw). Aber es ist wohl so, dass meine Daten ziemlich früh geklaut, jedoch erst jetzt zum "Einsatz" kamen.
Hallo,
Aufgrund der "alten FWs" kann man ja davon ausgehen, dass die Lücke schon sehr lange in entsprechenden Kreisen bekannt ist/war. Also genug Zeit für Vorbereitungen.
Das ganze Ändern aller(!) Passwörter hat mich zwar einiges(!) an Zeit gekostet, aber in dem Zuge wurden wirklich alle relevanten Pwds geändert, bei 1&1 die Auslandssperre (man kann diese nur noch vom eigenen Anschluss aus ändern), und bei Sipgate das ganze auf Prepaid (also überschaubares Risiko) geändert.
Danke, Christoph, dass du das ansprichst. Viele denken das sie "nur" die Passwörter in der Fritz!Box ändern müssen.
Wenn überhaupt. Denn es gab ja ein Sicherheitsupdate. Warum sollte ich dann was ändern?
Trotz Unbetroffenheit, und wohl auch wegen Unsicherheit, hab ich nach Bekanntgabe der lokalen Angriffsprozedur (präparierte Webseite auf lokale fritz.box),
auch die Accounts für Internetzugang und Telefonnummern mehrere Male auch beim Provider geändert. Sozusagen nach jeder Schockmeldung.
Ich hoffe jetzt, dass ich aus dem Schneider bin, höchstwahrscheinlich sogar. Ein fahler Beigeschmack bleibt trotzdem irgendwie.
