FRITZ!Box 7490 07.2x Labor Serie
- Ersteller eisbaerin
- Erstellt am
Kasifix
Neuer User
- Mitglied seit
- 1 Aug 2014
- Beiträge
- 147
- Punkte für Reaktionen
- 47
- Punkte
- 28
Das ist die Überschrift.
Die Option, die wir mit einer CheckBox aktivieren können und haben lautet:
"Updates auf neue FRITZ!OS-Version dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden."
Und nein, nicht der Monitor, sondern nur ich stehe Kopf, wenn ich nicht weiß, ob Gesprächspartner nur unpräzise sprechen oder auch so denken.
Sorry.
Die Option, die wir mit einer CheckBox aktivieren können und haben lautet:
"Updates auf neue FRITZ!OS-Version dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden."
Und nein, nicht der Monitor, sondern nur ich stehe Kopf, wenn ich nicht weiß, ob Gesprächspartner nur unpräzise sprechen oder auch so denken.
Sorry.
kleinkariert
Aktives Mitglied
- Mitglied seit
- 21 Mai 2019
- Beiträge
- 2,310
- Punkte für Reaktionen
- 387
- Punkte
- 83
Ich wollte nur mal die ungekürzte eindeutige Option sehen und damit
"Kannst Du die Frage von KingTutt denn vorher bitte eindeutig beantworten?" mal klären.
"Kannst Du die Frage von KingTutt denn vorher bitte eindeutig beantworten?" mal klären.
KingTutt
Mitglied
- Mitglied seit
- 15 Sep 2005
- Beiträge
- 357
- Punkte für Reaktionen
- 5
- Punkte
- 18
Danke für das Feedback: Die Option "Updates auf neue FRITZ!OS-Versionen dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden." ist bei mir gesetzt, anstoßen kann ich das Update dennoch nicht von meinem C4. Ich werde das daher mal über das Feedback Formular melden.
Edit: Meldung ist raus.
Edit: Meldung ist raus.
Zuletzt bearbeitet:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,157
- Punkte für Reaktionen
- 1,707
- Punkte
- 113
Ein vorheriges Reboot der Box (von dem ich nichts gesehen habe) könnte auch hilfreich sein ... manchmal ist nach einer längeren Uptime das System "etwas durcheinander" (oder der Speicher deutlich mehr ausgelastet) und da kann es dann schon mal passieren, daß der Update-Prozess abgebrochen werden muß. Am Telefon erhält man darüber auch keine Info ... dazu müßte man in die Support-Datei schauen (falls AVM die Update-Logs da einschließt).
Das läuft jedenfalls (als "Online-Update") auch alles asynchron und ohne sichtbare Bestätigung ... ja, es gibt mittlerweile ja sogar das SILENT_UPDATE, bei dem die Firmware zwar sofort installiert wird, wenn das möglich ist, der Neustart aber erst irgendwann später erfolgt - sogar in einer einstellbaren Zeitspanne, wenn es um automatisches Update geht.
Das läuft jedenfalls (als "Online-Update") auch alles asynchron und ohne sichtbare Bestätigung ... ja, es gibt mittlerweile ja sogar das SILENT_UPDATE, bei dem die Firmware zwar sofort installiert wird, wenn das möglich ist, der Neustart aber erst irgendwann später erfolgt - sogar in einer einstellbaren Zeitspanne, wenn es um automatisches Update geht.
Olga66
Aktives Mitglied
- Mitglied seit
- 21 Mai 2013
- Beiträge
- 1,011
- Punkte für Reaktionen
- 176
- Punkte
- 63
(#213 & #214) Habt ihr hier irgendetwas gesetzt
(# 232 hat geschrieben "nutze ich dies selber, und hab kein Problem gerade gehabt mit meinem MTF das update anzustoßen" also kann der Fehler leider auch nicht von da kommen
)
Das was in Klammern steht wurde nachträglich geändert
(# 232 hat geschrieben "nutze ich dies selber, und hab kein Problem gerade gehabt mit meinem MTF das update anzustoßen" also kann der Fehler leider auch nicht von da kommen
)Das was in Klammern steht wurde nachträglich geändert
Anhänge
Zuletzt bearbeitet:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,157
- Punkte für Reaktionen
- 1,707
- Punkte
- 113
@Olga66:
Spätestens wenn die Box mit dem GUI über's Internet erreichbar sein sollte, sollte man auch die 2FA verwenden.
Nutzt man dafür den angebotenen "Google Authenticator" (wobei das auch nicht ganz korrekt ist, denn eigentlich werden alle Programme unterstützt, welche die Algorithmen nach RFC 6238 unterstützen - auch die App von Microsoft und weitere), braucht man das auch nur einmal (pro Box und pro Benutzerkonto allerdings) richtig einzurichten und die Box muß über eine gültige Uhrzeit (mit +/- 30 Sekunden Abweichung max.) verfügen - was sie aber beim Internet-Zugriff i.d.R. auch muß, denn anderes (z.B. Zertifikatprüfungen) braucht auch eine passende Uhrzeit.
Ansonsten steht man bei der Fernwartung immer vor dem Problem, daß man entweder vieles nicht machen kann, ohne daß einem jemand lokal an der Box per Telefon oder Button die Erlaubnis erteilt oder daß man die Box vollkommen ohne 2FA ins Internet stellen muß und sich dann auch darauf verlassen muß, daß keine (bisher unbekannten) Schwachstellen existieren. Wer will sich (wenn er eine fremde Box wartet) denn beim nächsten GAU vorhalten lassen, daß er ja die Entscheidung getroffen hat, die 2FA komplett abzuschalten?
Wenn man tatsächlich entscheidende Änderungen an der FRITZ!Box-Konfiguration vornehmen will (und nur dann erfolgt ja überhaupt eine 2FA-Abfrage), dann kann man meiner Meinung nach auch mal schnell sein Smartphone zur Hand nehmen und von dort sechs Ziffern in den 2FA-Dialog eintippen (auch wenn AVM den tatsächlich "griffiger" gestalten könnte, wenn der angemeldete Benutzer dieses Feature aktiviert hat) ... danach bleibt die Session ja für ihre gesamte Dauer autorisiert und man muß das nicht bei jeder Änderung neu machen.
Wobei das gleichzeitig eine Schwachstelle ist, weil man dann auch wieder Gefahr läuft, daß so eine Session nach der erfolgreichen Autorisierung "entführt" wird (sogenanntes Session-Hijacking) ... was bei FRITZ!OS-Zugriff mit einem PC aus einem fremden WLAN mit einem Browser, wo man schon automatisch mit einem "selbstsignierten Zertifikat" konfrontiert wird und das nur noch automatisch wegklickt, gar nicht sooo schwer zu bewerkstelligen wäre - zumindest nicht für den WLAN-Betreiber. Dagegen hilft dann nur das VPN ... aber auch beim Zugriff aus dem LAN kann so eine 2FA sehr sinnvoll sein. Irgendeine "malicious app" (und die gab es schon in allen Stores) kann zwar den Netzwerk-Verkehr eines Gadgets mitlesen und damit an die Session-ID gelangen ... aber an den Code für die 2FA auch nur dann (und selbst dann nicht automatisch), wenn das alles auf dem Gerät abläuft, wo auch die TOTP-App installiert ist.
Aber die meisten übersehen heute schon gerne, daß ihr Smart-TV oder ihre SmartHome-Brigde genauso "schlau" sind, wie jeder andere "Computer" und sie selbst da eigentlich gar keine Ahnung mehr haben, was dort von wem installiert wird (sei es vom Hersteller oder vom eigenen Anbieter) und was die Software da so treibt. Daher sollte die FRITZ!Box auch nach innen genauso abgesichert werden, wie nach außen ... und mein erster Satz soll eigentlich nur bedeuten, daß ein WAN-Zugriff ohne 2FA schon unter die Kategorie "Galoppierender Leichtsinn" einzuordnen wäre (zumindest in meiner Welt) und daß es mit den TOTPs da auch keine wirklich plausible Ausrede mehr geben sollte; egal, ob die Box hinterm Schrank oder unterm Dach zu finden ist.
Wer dieses von AVM angebotene Feature nicht nutzt, darf sich halt auch beim nächsten Sicherheitsproblem dann nicht beschweren, wenn Angreifer deutlich größere Schäden anrichten können, als das bei aktivierter 2FA der Fall gewesen wäre. Und ein altes Mantra aus der IT-Security lautet: "Es gibt nur zwei Arten von Unternehmen – die, die gehackt worden sind und die, die es noch nicht wissen.” und ein weiteres: "Die Frage ist nicht ob, sondern wann man gehackt wird." - was man problemlos auch auf Haushalte übertragen kann. Nicht alles ist immer gleich so offensichtlich und mit einem so großen Medienecho verbunden, wie das "webcm"-Problem am Beginn des Jahres 2014.
Mein Rat also ... richte Dir einen Admin-Account mit TOTP-Feature ein und passe auf Dein Smartphone auf - oder wo auch immer man die TOTP-App installiert, das kann ja auch ein Tablet sein, wobei eine Kamera (für QR-Codes) schon praktisch ist - und das ist bei einem Laptop mit Kamera im Displayrahmen dann schon schwerer. Der "Diskomfort", den man sich damit einhandelt, ist durchaus zu ertragen ... aber den im Problemfall anzurichtenden Schaden kann man damit auch deutlich begrenzen. Solange es die TOTPs noch nicht gab (die kamen ja erst nachträglich), war der Wunsch nach der "Abschaltung" bei ferngewarteten Boxen noch nachvollziehbar ... seitdem sehe ich keine wirklich plausiblen Begründungen mehr dafür. Es ist letztlich nichts anderes als ein "zweistufiges" Login ... für die "langweiligen Sachen", wo man wenig Schaden anrichten kann, braucht es halt nur die "erste Stufe" und für die wichtigeren Sachen dann die zweite.
Wenn AVM an irgendwelchen Stelle die Notwendigkeit für die 2FA übertreibt (das war mal beim Fax-Versand über das GUI so und ich weiß gar nicht, wie das heute aussieht), dann sollte man das besser "melden" (damit AVM da Feedback sammeln und Entscheidungen überdenken kann) und dann trotzdem die 2FA aktivieren (wie gesagt, einmal pro Session ... selbst wenn man mehrere Faxe versenden will, braucht es die 2FA nur einmal) - denn afaik braucht es auch für diese Funktion den vollen administrativen Zugriff auf das GUI (sonst kommt man gar nicht auf diese Seite) und dann ist ein fremder Zugriff auf dieses Konto natürlich genauso gefährlich, wie bei jedem anderen (Admin-)Konto.
DAS ist (m.W.) die einzige Stelle, wo es AVM wirklich übertreibt - besser wäre es sicherlich, wenn man für den Fax-Versand (auch wenn das nur noch selten genutzt wird - und das "selten" meint das Feature selbst und nicht die Nutzungshäufigkeit bei jemanden, der das tatsächlich verwendet) nur dann eine 2FA-Autorisierung bräuchte, wenn das Fax eine (eingestellte) Rufbeschränkung für ausgehende Gespräche ignorieren soll ... auch damit wäre das Erzeugen von Kosten über die Fax-Funktion ja verhindert. Ansonsten müßte AVM nur die Fax-Funktionen auch (noch einmal) im MyFRITZ!-Teil des FRITZ!OS unterbringen, wo ja auch Anrufliste und Anrufbeantworter benutzt werden können, wenn ein Account nur "Phone"-Rechte hat ... dann bräuchte es dafür (solange es keine gesperrten Nummern sind) auch nur noch ein entsprechendes Konto mit beschränkten Rechten.
Spätestens wenn die Box mit dem GUI über's Internet erreichbar sein sollte, sollte man auch die 2FA verwenden.
Nutzt man dafür den angebotenen "Google Authenticator" (wobei das auch nicht ganz korrekt ist, denn eigentlich werden alle Programme unterstützt, welche die Algorithmen nach RFC 6238 unterstützen - auch die App von Microsoft und weitere), braucht man das auch nur einmal (pro Box und pro Benutzerkonto allerdings) richtig einzurichten und die Box muß über eine gültige Uhrzeit (mit +/- 30 Sekunden Abweichung max.) verfügen - was sie aber beim Internet-Zugriff i.d.R. auch muß, denn anderes (z.B. Zertifikatprüfungen) braucht auch eine passende Uhrzeit.
Ansonsten steht man bei der Fernwartung immer vor dem Problem, daß man entweder vieles nicht machen kann, ohne daß einem jemand lokal an der Box per Telefon oder Button die Erlaubnis erteilt oder daß man die Box vollkommen ohne 2FA ins Internet stellen muß und sich dann auch darauf verlassen muß, daß keine (bisher unbekannten) Schwachstellen existieren. Wer will sich (wenn er eine fremde Box wartet) denn beim nächsten GAU vorhalten lassen, daß er ja die Entscheidung getroffen hat, die 2FA komplett abzuschalten?
Wenn man tatsächlich entscheidende Änderungen an der FRITZ!Box-Konfiguration vornehmen will (und nur dann erfolgt ja überhaupt eine 2FA-Abfrage), dann kann man meiner Meinung nach auch mal schnell sein Smartphone zur Hand nehmen und von dort sechs Ziffern in den 2FA-Dialog eintippen (auch wenn AVM den tatsächlich "griffiger" gestalten könnte, wenn der angemeldete Benutzer dieses Feature aktiviert hat) ... danach bleibt die Session ja für ihre gesamte Dauer autorisiert und man muß das nicht bei jeder Änderung neu machen.
Wobei das gleichzeitig eine Schwachstelle ist, weil man dann auch wieder Gefahr läuft, daß so eine Session nach der erfolgreichen Autorisierung "entführt" wird (sogenanntes Session-Hijacking) ... was bei FRITZ!OS-Zugriff mit einem PC aus einem fremden WLAN mit einem Browser, wo man schon automatisch mit einem "selbstsignierten Zertifikat" konfrontiert wird und das nur noch automatisch wegklickt, gar nicht sooo schwer zu bewerkstelligen wäre - zumindest nicht für den WLAN-Betreiber. Dagegen hilft dann nur das VPN ... aber auch beim Zugriff aus dem LAN kann so eine 2FA sehr sinnvoll sein. Irgendeine "malicious app" (und die gab es schon in allen Stores) kann zwar den Netzwerk-Verkehr eines Gadgets mitlesen und damit an die Session-ID gelangen ... aber an den Code für die 2FA auch nur dann (und selbst dann nicht automatisch), wenn das alles auf dem Gerät abläuft, wo auch die TOTP-App installiert ist.
Aber die meisten übersehen heute schon gerne, daß ihr Smart-TV oder ihre SmartHome-Brigde genauso "schlau" sind, wie jeder andere "Computer" und sie selbst da eigentlich gar keine Ahnung mehr haben, was dort von wem installiert wird (sei es vom Hersteller oder vom eigenen Anbieter) und was die Software da so treibt. Daher sollte die FRITZ!Box auch nach innen genauso abgesichert werden, wie nach außen ... und mein erster Satz soll eigentlich nur bedeuten, daß ein WAN-Zugriff ohne 2FA schon unter die Kategorie "Galoppierender Leichtsinn" einzuordnen wäre (zumindest in meiner Welt) und daß es mit den TOTPs da auch keine wirklich plausible Ausrede mehr geben sollte; egal, ob die Box hinterm Schrank oder unterm Dach zu finden ist.
Wer dieses von AVM angebotene Feature nicht nutzt, darf sich halt auch beim nächsten Sicherheitsproblem dann nicht beschweren, wenn Angreifer deutlich größere Schäden anrichten können, als das bei aktivierter 2FA der Fall gewesen wäre. Und ein altes Mantra aus der IT-Security lautet: "Es gibt nur zwei Arten von Unternehmen – die, die gehackt worden sind und die, die es noch nicht wissen.” und ein weiteres: "Die Frage ist nicht ob, sondern wann man gehackt wird." - was man problemlos auch auf Haushalte übertragen kann. Nicht alles ist immer gleich so offensichtlich und mit einem so großen Medienecho verbunden, wie das "webcm"-Problem am Beginn des Jahres 2014.
Mein Rat also ... richte Dir einen Admin-Account mit TOTP-Feature ein und passe auf Dein Smartphone auf - oder wo auch immer man die TOTP-App installiert, das kann ja auch ein Tablet sein, wobei eine Kamera (für QR-Codes) schon praktisch ist - und das ist bei einem Laptop mit Kamera im Displayrahmen dann schon schwerer. Der "Diskomfort", den man sich damit einhandelt, ist durchaus zu ertragen ... aber den im Problemfall anzurichtenden Schaden kann man damit auch deutlich begrenzen. Solange es die TOTPs noch nicht gab (die kamen ja erst nachträglich), war der Wunsch nach der "Abschaltung" bei ferngewarteten Boxen noch nachvollziehbar ... seitdem sehe ich keine wirklich plausiblen Begründungen mehr dafür. Es ist letztlich nichts anderes als ein "zweistufiges" Login ... für die "langweiligen Sachen", wo man wenig Schaden anrichten kann, braucht es halt nur die "erste Stufe" und für die wichtigeren Sachen dann die zweite.
Wenn AVM an irgendwelchen Stelle die Notwendigkeit für die 2FA übertreibt (das war mal beim Fax-Versand über das GUI so und ich weiß gar nicht, wie das heute aussieht), dann sollte man das besser "melden" (damit AVM da Feedback sammeln und Entscheidungen überdenken kann) und dann trotzdem die 2FA aktivieren (wie gesagt, einmal pro Session ... selbst wenn man mehrere Faxe versenden will, braucht es die 2FA nur einmal) - denn afaik braucht es auch für diese Funktion den vollen administrativen Zugriff auf das GUI (sonst kommt man gar nicht auf diese Seite) und dann ist ein fremder Zugriff auf dieses Konto natürlich genauso gefährlich, wie bei jedem anderen (Admin-)Konto.
DAS ist (m.W.) die einzige Stelle, wo es AVM wirklich übertreibt - besser wäre es sicherlich, wenn man für den Fax-Versand (auch wenn das nur noch selten genutzt wird - und das "selten" meint das Feature selbst und nicht die Nutzungshäufigkeit bei jemanden, der das tatsächlich verwendet) nur dann eine 2FA-Autorisierung bräuchte, wenn das Fax eine (eingestellte) Rufbeschränkung für ausgehende Gespräche ignorieren soll ... auch damit wäre das Erzeugen von Kosten über die Fax-Funktion ja verhindert. Ansonsten müßte AVM nur die Fax-Funktionen auch (noch einmal) im MyFRITZ!-Teil des FRITZ!OS unterbringen, wo ja auch Anrufliste und Anrufbeantworter benutzt werden können, wenn ein Account nur "Phone"-Rechte hat ... dann bräuchte es dafür (solange es keine gesperrten Nummern sind) auch nur noch ein entsprechendes Konto mit beschränkten Rechten.
Das TOTP-Feature kann man auch in KeepassXC oder KeepassDX einrichten, dann braucht man keine Extra-App dafür und hat es sogar auf dem Desktop zur Verfügung.
Eigentlich haben die beiden nur geschrieben, dass es sogar sinnvoll wäre 2FA zu nutzen, weil deine Nachkommentatoren dies für übertrieben hielten....
Warum fühlst du dich direkt angegriffen? Btw nutze ich dies selber, und hab kein Problem gerade gehabt mit meinem MTF das update anzustoßen (war halt ein paar Tage nicht zu Hause, deswegen erst jetzt das update).
Warum fühlst du dich direkt angegriffen? Btw nutze ich dies selber, und hab kein Problem gerade gehabt mit meinem MTF das update anzustoßen (war halt ein paar Tage nicht zu Hause, deswegen erst jetzt das update).
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,157
- Punkte für Reaktionen
- 1,707
- Punkte
- 113
Na ja, ich hatte das "ihr" in #226 (wie die Autoren der zwei folgenden Beiträge wohl auch) schon als Frage verstanden, was man damit überhaupt anfangen soll. Aber ich bin auch nicht für mißverständliche Formulierungen und fehlende "Anker" (in Form von Zitaten oder "Ansprachen" mit @username) verantwortlich.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,157
- Punkte für Reaktionen
- 1,707
- Punkte
- 113
Da ist doch nichts sinnloses dran, den Leuten mal zu erklären wie sinnvoll eine 2FA zu nutzen doch ist.
Aber in Zeiten von Fozze Appe und Fratzenbook scheint dies umsonst zu sein
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,157
- Punkte für Reaktionen
- 1,707
- Punkte
- 113
Vielleicht überlegst Du ja auch mal, warum drei Leute das so falsch verstehen konnten. Und vom Prinzip paßt eine Frage, was andere hier bei 2FA eingestellt haben, durchaus in diesen Thread.
Neueste Beiträge
-
Telekom FTTH-"Ausbau" bei bestehender FTTH-Anbindung
- Letzte: Lurtz
-
6690 internationale version keine Synchronisation- Letzte: Jstessi
-
Empfehlung Switch für Entertain TV & Sonos
- Letzte: tango501
-
[Problem] F!B 6591 Bootloop- Letzte: PeterPawn
-
Neues 3930w mit SIP 6.4.0.132 an SMBC anmelden- Letzte: chrsto
-
DLM: was zählt als Abbruch?
- Letzte: BeeHaa
-
COMpact 5200 mit zwei Telekom-Anschlüssen (5G Hyrid)
- Letzte: Frank_W
-
X6 Downgrade von Firmware 5.04 möglich?
- Letzte: Lexpire