[Info] Fehlerhafte Anzeige "automatisch angelegt - Benutzer zum FRITZ!Box-Kennwort" für User-Namen, die dem AVM-Schema folgen

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,136
Punkte für Reaktionen
1,702
Punkte
113
Mittlerweile versucht AVM (seit wann genau, weiß ich nicht, getestet mit 07.27) ja, den automatisch angelegten Account für die Anmeldung mit dem hinten aufgedruckten Kennwort von denen abzugrenzen, die vom Benutzer selbst angelegt wurden.

Da man dabei aber offenbar tatsächlich nur auf das Namensschema fritznnnn (mit 0 <= n <= 9 für jedes n) abstellt, bringt das Anlegen eines entsprechenden Accounts durch einen Benutzer das System jetzt komplett durcheinander bzw. sorgt dafür, daß die angezeigten Informationen nun gar nicht mehr stimmen. So werden einem solchen Benutzer automatisch die Attribute aus dem Thread-Titel zugewiesen - vollkommen unabhängig davon, ob das tatsächlich stimmt (spez. im Hinblick auf das Kennwort).

Das wäre an sich ja noch zu verkraften ... aber auch die Anmeldeseite läßt sich von diesem Benutzer-Account verwirren (was zu erwarten ist, schließlich nutzt das gesamte GUI den Code in der boxusers.lua) und so wird dort dann auch angeboten: "Sie können sich auch nur mit dem FRITZ!Box-Kennwort anmelden." bzw. bei der Auswahl des selbst angelegten Accounts wird der Kommentar eingeblendet: "Automatisch angelegter Benutzer. Sie können sich mit dem FRITZ!Box-Kennwort anmelden." - was natürlich kompletter Unsinn ist, solange man dem Account nicht auch tatsächlich das richtige Kennwort zugewiesen hat.

Dabei läßt sich das FRITZ!OS auch nicht davon beeindrucken, wenn das betreffende Gerät schon vor der Einführung von webgui_pass im Urlader-Environment produziert wurde ... und es somit gar kein entsprechendes, vordefiniertes Kennwort für dieses Gerät gibt.

Das ist - in meinen Augen zumindest - schon eine arg schlampige Umsetzung eines Features, was man ansonsten nur begrüßen kann. Hier wird zwar die Sicherheit des FRITZ!OS tatsächlich erhöht, aber über die Konsequenzen einer Umsetzung hat man sich offensichtlich nur wenige Gedanken gemacht (oder zumindest zu wenige). Zwar greift das alles auch nur dann, wenn es tatsächlich nur einen einzigen Benutzer mit einem zum Schema passenden Namen gibt, aber alle anderen Vorkehrungen, die man hier hätte treffen können:
  • zusätzliches Flag für den automatisch angelegten Benutzer, das auch per GUI nicht zu setzen ist
  • Filtern von Benutzernamen für selbst erstellte Accounts, damit sie nicht auf das Schema passen
  • Prüfung, ob überhaupt ein Wert für webgui_pass vorhanden ist
  • Vergleich des aktuellen Kennworts (oder auch nur der Rechte, denn der Unsinn wird - zumindest in der Benutzerliste, das Login-Formular fürs GUI bemerkt die fehlenden Admin-Rechte, die anderen Login-Formulare lassen sich genauso blenden - auch für "Nicht-Admins" angezeigt) mit dem vordefinierten Wert
(ggf. gibt es noch weitere Möglichkeiten der Validierung so eines Accounts) sind nicht zu sehen - mit der Konsequenz, daß die Login-Masken Unsinn anzeigen.

Spätestens dann, wenn der Besitzer das Kennwort für einen automatisch angelegten Benutzer oder dessen Rechte ändert, hat sich das mit den angezeigten Eigenschaften eigentlich erledigt - dann sollte auch auf solche zusätzlichen Anzeigen verzichtet werden, weil sie nun nicht mehr stimmen und nur für (zusätzliche) Verwirrung sorgen.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.