Nach dem AVM Hack möchte ich hier nochmal die Frage nach der Sicherheit an den Autor des LCRs stellen.
Ich hatte vor einiger Zeit mal bemängelt, dass nachdem AVM die vorgeschaltete HTTPS-AUTH abgeschafft hat die Seite mit dem LCR Zugang bei eingeschaltetem Fernzugang ungesichert im Netz steht. Über den Link kommt man direkt zum LCR Login. Der LCR Zugang hat dabei keine Zeitfalle bei falsch eingegebenem Passwort! Damit kann mal also schon mal einfacher eine Brute Force Attacke versuchen, als beim Original Login. Es wird also die Sicherheit durch die Zeitfalle bei AVM ausgehebelt!!! Ich hätte gerne, das diese Sicherheitsproblem vom Autor und vom Unterforum ernst genommen wird. Eine Abschaltung des Fernzuganges kommt für mich aus verschiedenen Gründen nicht in Frage. Also bitte gar nicht erst als Lösung vorschlagen!
Ich möchte hier mal ein Paar Fragen und Anregungen formulieren:
- Lässt sich der Zugang zum LCR grundsätzlich über Fernwartung verhindern? -> Wenn ja, bitte abschaltbar machen!
- Kann man bei aktiven Fernzugang grundsätzlich den LCR immer über seine (externe) URL direkt aufrufen, oder lässt sich das verhindern? -> Wenn ja, bitte machen!
- Der LCR Login Dialog sollte eine Zeitfalle nach Vorbild AVM bekommen! -> Zur Brute Force Verhinderung
- Ist der LCR Dialog sicher gegen PHP Code Injection? Werden die Eingaben und Parameter entsprechend geprüft?
Es wäre echt super, wenn Harald ein paar Gedanken und ein paar zusätzlich Codezeile in die Sicherheit investieren könnte.
Bin auf euer Feedback gespannt...
-keule
Ich hatte vor einiger Zeit mal bemängelt, dass nachdem AVM die vorgeschaltete HTTPS-AUTH abgeschafft hat die Seite mit dem LCR Zugang bei eingeschaltetem Fernzugang ungesichert im Netz steht. Über den Link kommt man direkt zum LCR Login. Der LCR Zugang hat dabei keine Zeitfalle bei falsch eingegebenem Passwort! Damit kann mal also schon mal einfacher eine Brute Force Attacke versuchen, als beim Original Login. Es wird also die Sicherheit durch die Zeitfalle bei AVM ausgehebelt!!! Ich hätte gerne, das diese Sicherheitsproblem vom Autor und vom Unterforum ernst genommen wird. Eine Abschaltung des Fernzuganges kommt für mich aus verschiedenen Gründen nicht in Frage. Also bitte gar nicht erst als Lösung vorschlagen!
Ich möchte hier mal ein Paar Fragen und Anregungen formulieren:
- Lässt sich der Zugang zum LCR grundsätzlich über Fernwartung verhindern? -> Wenn ja, bitte abschaltbar machen!
- Kann man bei aktiven Fernzugang grundsätzlich den LCR immer über seine (externe) URL direkt aufrufen, oder lässt sich das verhindern? -> Wenn ja, bitte machen!
- Der LCR Login Dialog sollte eine Zeitfalle nach Vorbild AVM bekommen! -> Zur Brute Force Verhinderung
- Ist der LCR Dialog sicher gegen PHP Code Injection? Werden die Eingaben und Parameter entsprechend geprüft?
Es wäre echt super, wenn Harald ein paar Gedanken und ein paar zusätzlich Codezeile in die Sicherheit investieren könnte.
Bin auf euer Feedback gespannt...
-keule