- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,197
- Punkte für Reaktionen
- 1,716
- Punkte
- 113
Mittlerweile versucht AVM (seit wann genau, weiß ich nicht, getestet mit 07.27) ja, den automatisch angelegten Account für die Anmeldung mit dem hinten aufgedruckten Kennwort von denen abzugrenzen, die vom Benutzer selbst angelegt wurden.
Da man dabei aber offenbar tatsächlich nur auf das Namensschema fritznnnn (mit 0 <= n <= 9 für jedes n) abstellt, bringt das Anlegen eines entsprechenden Accounts durch einen Benutzer das System jetzt komplett durcheinander bzw. sorgt dafür, daß die angezeigten Informationen nun gar nicht mehr stimmen. So werden einem solchen Benutzer automatisch die Attribute aus dem Thread-Titel zugewiesen - vollkommen unabhängig davon, ob das tatsächlich stimmt (spez. im Hinblick auf das Kennwort).
Das wäre an sich ja noch zu verkraften ... aber auch die Anmeldeseite läßt sich von diesem Benutzer-Account verwirren (was zu erwarten ist, schließlich nutzt das gesamte GUI den Code in der
Dabei läßt sich das FRITZ!OS auch nicht davon beeindrucken, wenn das betreffende Gerät schon vor der Einführung von
Das ist - in meinen Augen zumindest - schon eine arg schlampige Umsetzung eines Features, was man ansonsten nur begrüßen kann. Hier wird zwar die Sicherheit des FRITZ!OS tatsächlich erhöht, aber über die Konsequenzen einer Umsetzung hat man sich offensichtlich nur wenige Gedanken gemacht (oder zumindest zu wenige). Zwar greift das alles auch nur dann, wenn es tatsächlich nur einen einzigen Benutzer mit einem zum Schema passenden Namen gibt, aber alle anderen Vorkehrungen, die man hier hätte treffen können:
Spätestens dann, wenn der Besitzer das Kennwort für einen automatisch angelegten Benutzer oder dessen Rechte ändert, hat sich das mit den angezeigten Eigenschaften eigentlich erledigt - dann sollte auch auf solche zusätzlichen Anzeigen verzichtet werden, weil sie nun nicht mehr stimmen und nur für (zusätzliche) Verwirrung sorgen.
Da man dabei aber offenbar tatsächlich nur auf das Namensschema fritznnnn (mit 0 <= n <= 9 für jedes n) abstellt, bringt das Anlegen eines entsprechenden Accounts durch einen Benutzer das System jetzt komplett durcheinander bzw. sorgt dafür, daß die angezeigten Informationen nun gar nicht mehr stimmen. So werden einem solchen Benutzer automatisch die Attribute aus dem Thread-Titel zugewiesen - vollkommen unabhängig davon, ob das tatsächlich stimmt (spez. im Hinblick auf das Kennwort).
Das wäre an sich ja noch zu verkraften ... aber auch die Anmeldeseite läßt sich von diesem Benutzer-Account verwirren (was zu erwarten ist, schließlich nutzt das gesamte GUI den Code in der
boxusers.lua
) und so wird dort dann auch angeboten: "Sie können sich auch nur mit dem FRITZ!Box-Kennwort anmelden." bzw. bei der Auswahl des selbst angelegten Accounts wird der Kommentar eingeblendet: "Automatisch angelegter Benutzer. Sie können sich mit dem FRITZ!Box-Kennwort anmelden." - was natürlich kompletter Unsinn ist, solange man dem Account nicht auch tatsächlich das richtige Kennwort zugewiesen hat.Dabei läßt sich das FRITZ!OS auch nicht davon beeindrucken, wenn das betreffende Gerät schon vor der Einführung von
webgui_pass
im Urlader-Environment produziert wurde ... und es somit gar kein entsprechendes, vordefiniertes Kennwort für dieses Gerät gibt.Das ist - in meinen Augen zumindest - schon eine arg schlampige Umsetzung eines Features, was man ansonsten nur begrüßen kann. Hier wird zwar die Sicherheit des FRITZ!OS tatsächlich erhöht, aber über die Konsequenzen einer Umsetzung hat man sich offensichtlich nur wenige Gedanken gemacht (oder zumindest zu wenige). Zwar greift das alles auch nur dann, wenn es tatsächlich nur einen einzigen Benutzer mit einem zum Schema passenden Namen gibt, aber alle anderen Vorkehrungen, die man hier hätte treffen können:
- zusätzliches Flag für den automatisch angelegten Benutzer, das auch per GUI nicht zu setzen ist
- Filtern von Benutzernamen für selbst erstellte Accounts, damit sie nicht auf das Schema passen
- Prüfung, ob überhaupt ein Wert für
webgui_pass
vorhanden ist - Vergleich des aktuellen Kennworts (oder auch nur der Rechte, denn der Unsinn wird - zumindest in der Benutzerliste, das Login-Formular fürs GUI bemerkt die fehlenden Admin-Rechte, die anderen Login-Formulare lassen sich genauso blenden - auch für "Nicht-Admins" angezeigt) mit dem vordefinierten Wert
Spätestens dann, wenn der Besitzer das Kennwort für einen automatisch angelegten Benutzer oder dessen Rechte ändert, hat sich das mit den angezeigten Eigenschaften eigentlich erledigt - dann sollte auch auf solche zusätzlichen Anzeigen verzichtet werden, weil sie nun nicht mehr stimmen und nur für (zusätzliche) Verwirrung sorgen.
Zuletzt bearbeitet: