Passwort-Schutz der Box existiert praktisch nicht!

udosw

Aktives Mitglied
Mitglied seit
20 Mrz 2004
Beiträge
1,114
Punkte für Reaktionen
0
Punkte
36
Bei jeder Fritz!Box lässt sich der Passwortschutz kinderleicht umgehen:
Probiert folgendes: Schützt Eure Box mit einem Kennwort
(System -> Kennwort)
Dann Browser schliessen, nur damit es auch eindrucksvoll ist.

Klickt auf diesen Link:

http://192.168.178.1/cgi-bin/webcm?getpage=../html/menus/menu2.html&var:menu=home&var:pagename=home

[s:607a836c7f]Kein Kommentar. Das ist einfach unglaublich dilletantisch von AVM.[/s:607a836c7f]

Edit: Ich relativiere das etwas. Wenn man die Box ein paar Minuten nicht angesprochen hat, kommt die PW-Abfrage. Komisch.

Udo

PS: Über diese Art Links lässt sich auch jede Seite direkt ansprechen.
mit &var:menu= steuert man das Menu
mit &var:page= die Seite.
Die Werte kann man ja im URL beim Klicken gut sehen.
 
@udosw:
Heisst das nun, Du kannst auf meine FBF zugreifen?

Sobald ich mal wieder frei habe, stehe ich (nochmals) bei AVM auf der Matte.
 
markbeu schrieb:
@udosw:
Heisst das nun, Du kannst auf meine FBF zugreifen?
Nein, übers Netz geht das (wohl) nicht. Aber es haben ja schon Leute durch Anlegen eines virtuellen Interfaces den Remote-Zugriff auf die Box ermöglicht. Da dürfte es eine Sicherheitslücke geben ...

Udo
 
ist doch echt alles Mist und unsicher :-(
 
Sorry, ich muss mich etwas korrigieren. Als ich eben wieder auf den Link klickte, wurde das Passwort abgefragt. Wird da irgendwas temporär gespeichert? Cookie?
Bitte testen.

Udo
 
hi udosw, bei mir wird das pw abgefragt. ich greife übers netzwerk auf die box zu.



kudde
 
udosw schrieb:
Wird da irgendwas temporär gespeichert? Cookie?

warum schaust du nicht nach?
oder stell ein das du gefragt wirst wenn n cookie gespeichert werden will.

Hast du die Seite denn aktuallisiert?
Vermutlich wurde DIE ausm Cache angezeigt.

udosw schrieb:

F5 drücken.


Welchen Browser benutzt du?
- nimm Firefox
 
Mal eine Frage falls es kein Cookie/Caching ist (habe hier momentan leider keine FBox zur Verfügung):
1. Rechner/Browser: Normales Login.

2. Rechner (andere IP) oder andere Browser (d.h. kein gemeinsamer Cache/Cookiestore z.B. MSIE statt Mozilla)
<-- Hat dieser 2. nun auch zugriff ohne Passwort?
Je nachdem was die FBox sich merkt oder einfach zeitweise Freischaltet wäre schön zu wissen.

Viele Grüße,
Guus
 
Es wird kein Cookie gespeichert und auch nichts gecachet.
Bei mir wird nach dem Passwort gefragt, nachdem es frisch eingeschaltet wurde.

Antwort der Fritzbox:

HTTP/1.0 200 OK
Cache-Control: no-cache
Content-type: text/html
Expires: -1
Pragma: no-cache
[...]
<meta http-equiv=content-type content="text/html; charset=iso-8859-1">
<meta http-equiv="expires" content="0">
[...]


Was aber geht:
1. Mit zb firefox auf http://fritz.box/ - passwort eingeben
2. Browser schliesen (zb firefox)
3. zb IE öffen und zur Übersicht

Was nicht geht:
1. auf PC1 einloggen
2. mit PC2 ohne pw direkt zur Übersicht

Trotzdem ist das unsauber.
Jemand könnte die IP spoofen und hat dann vermutlich Zugriff.
Macht aber nix denn das Passwort wird sowieso Plaintext übertragen.
Trotzdem sollte man ein Passwort gesetzt haben.
Eine böse Internetseite mit Frames oder Javascript ... mehr will ich nicht erläutern.
Klar, wenn man sich einmal eingeloggt hat nutzt auch dann das pw nicht
Auch das ändern der fb-IP nützt nicht da der dns immer passt.

Das einzige was hilft:
Man könnte in der hosts-datei nen falschen eintrag machen (zb fritz.box 0.0.0.0) und die IP der fb ändern aber wer macht das schon :p



getestet mit Fritzbox fon wlan 08.03.23
 
Also ich werde jedes Mal nach meinem Passwort gefragt.

Gruß
Frank
 
@Kudde @veipaaa
seid ihr sicher das bei euch das PW immer abgefragt wird?
wäre eigentlich seltsam wenns bei euch anders wär, denn dann müsstet ihr bei jedem (unter)seitenaufruf das pw erneut eingeben, was nicht geht da man nach der pw eingabe immer auf der Übersichtseite landet.
---

In der ar7.cfg gibts den Abschnitt

websrv {
port = "80";
read_timeout = 15m;
request_timeout = 30s;
keepalive_timeout = 5m;
[...]

Mit einem der beiden Einträge
read_timeout = 15m;
keepalive_timeout = 5m;
lässt sich evtl. das Zeitfenster nach der Passworteingabe einstellen.

Ich glaub avm hat aber ne Logout-funktion in Vorbereitung um dem Timeout zuvorzukommen.

Für ganz Paranoide bietet sich noch an den Port zu ändern.
Die Kombination: Passwort, geänderte Fritzbox-IP, geänderter Port und gefakte Host-Einträge in der client host-datei würde die Sicherheit etwas raufsetzen.

Aber es geht noch besser, viel besser.
haveaniceday's mod anwenden, den sshd starten, den webserver an localhost binden und/oder mit der firewall port 80 dicht machen. Und dann nur noch über ssh-tunnel aufs Webinterface zugreifen!
In Firmen oder in sonstigen unsicheren Netzen ist das zur Zeit die einzige Möglichkeit die Fritzbox wirklich dicht zu kriegen.

Was AVM verbessern könnte wäre SSL und SSH zu implementieren damit auch Ottonormaluser in dem Punkt abgesichert ist und nicht irgendwo ein illegales Image ziehen muss nur damit das Webinterface sicher ist.
Denn die meisten können mit haveaniceday's mod eher nichts anfangen oder wissen überhaupt davon. Das muss defaultmäßig sicher sein, was die box ansonsten ja auch ist.
 
das pw wird nur bei jedem erstzugriff abgefragt, wenn ich es offen lasse, brauche ich logischerweise nix einzugeben. schmeiss mal den firefox weg, mit ie klappt es tadellos.



kudde
 
habs mit IE, Firefox und Mozilla getestet.

erklär mal wie du vorgehst.
du gehst nicht zufällig immer auf http://fritz.box ?
Denn da kommt in der Tat IMMER die Passwortabfrage, egal ob du den Browser zumachst oder nicht.

Der Effekt tritt auf wenn man eine Unterseite direkt aufruft.
wer lesen kann....


Den Firefox werde ich beim besten Willen nicht wegschmeisen :lol:
 

Statistik des Forums

Themen
244,696
Beiträge
2,216,704
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.