.titleBar { margin-bottom: 5px!important; }

Passwort-Schutz der Box existiert praktisch nicht!

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von udosw, 7 Jan. 2005.

  1. udosw

    udosw Aktives Mitglied

    Registriert seit:
    20 März 2004
    Beiträge:
    1,114
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hannover
    Bei jeder Fritz!Box lässt sich der Passwortschutz kinderleicht umgehen:
    Probiert folgendes: Schützt Eure Box mit einem Kennwort
    (System -> Kennwort)
    Dann Browser schliessen, nur damit es auch eindrucksvoll ist.

    Klickt auf diesen Link:

    http://192.168.178.1/cgi-bin/webcm?getpage=../html/menus/menu2.html&var:menu=home&var:pagename=home

    [s:607a836c7f]Kein Kommentar. Das ist einfach unglaublich dilletantisch von AVM.[/s:607a836c7f]

    Edit: Ich relativiere das etwas. Wenn man die Box ein paar Minuten nicht angesprochen hat, kommt die PW-Abfrage. Komisch.

    Udo

    PS: Über diese Art Links lässt sich auch jede Seite direkt ansprechen.
    mit &var:menu= steuert man das Menu
    mit &var:page= die Seite.
    Die Werte kann man ja im URL beim Klicken gut sehen.
     
  2. markbeu

    markbeu IPPF-Promi

    Registriert seit:
    4 Apr. 2004
    Beiträge:
    3,263
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Berlin
    @udosw:
    Heisst das nun, Du kannst auf meine FBF zugreifen?

    Sobald ich mal wieder frei habe, stehe ich (nochmals) bei AVM auf der Matte.
     
  3. udosw

    udosw Aktives Mitglied

    Registriert seit:
    20 März 2004
    Beiträge:
    1,114
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hannover
    Nein, übers Netz geht das (wohl) nicht. Aber es haben ja schon Leute durch Anlegen eines virtuellen Interfaces den Remote-Zugriff auf die Box ermöglicht. Da dürfte es eine Sicherheitslücke geben ...

    Udo
     
  4. markbeu

    markbeu IPPF-Promi

    Registriert seit:
    4 Apr. 2004
    Beiträge:
    3,263
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Berlin
    ist doch echt alles Mist und unsicher :-(
     
  5. udosw

    udosw Aktives Mitglied

    Registriert seit:
    20 März 2004
    Beiträge:
    1,114
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hannover
    Sorry, ich muss mich etwas korrigieren. Als ich eben wieder auf den Link klickte, wurde das Passwort abgefragt. Wird da irgendwas temporär gespeichert? Cookie?
    Bitte testen.

    Udo
     
  6. Kudde

    Kudde Aktives Mitglied

    Registriert seit:
    30 März 2004
    Beiträge:
    2,148
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Augsburg
    hi udosw, bei mir wird das pw abgefragt. ich greife übers netzwerk auf die box zu.



    kudde
     
  7. khigh

    khigh Neuer User

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    warum schaust du nicht nach?
    oder stell ein das du gefragt wirst wenn n cookie gespeichert werden will.

    Hast du die Seite denn aktuallisiert?
    Vermutlich wurde DIE ausm Cache angezeigt.

    F5 drücken.


    Welchen Browser benutzt du?
    - nimm Firefox
     
  8. GGerrits

    GGerrits Neuer User

    Registriert seit:
    27 Juli 2004
    Beiträge:
    47
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    SW-Entwickler
    Ort:
    Griesheim
    Mal eine Frage falls es kein Cookie/Caching ist (habe hier momentan leider keine FBox zur Verfügung):
    1. Rechner/Browser: Normales Login.

    2. Rechner (andere IP) oder andere Browser (d.h. kein gemeinsamer Cache/Cookiestore z.B. MSIE statt Mozilla)
    <-- Hat dieser 2. nun auch zugriff ohne Passwort?
    Je nachdem was die FBox sich merkt oder einfach zeitweise Freischaltet wäre schön zu wissen.

    Viele Grüße,
    Guus
     
  9. khigh

    khigh Neuer User

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Es wird kein Cookie gespeichert und auch nichts gecachet.
    Bei mir wird nach dem Passwort gefragt, nachdem es frisch eingeschaltet wurde.

    Antwort der Fritzbox:

    HTTP/1.0 200 OK
    Cache-Control: no-cache
    Content-type: text/html
    Expires: -1
    Pragma: no-cache
    [...]
    <meta http-equiv=content-type content="text/html; charset=iso-8859-1">
    <meta http-equiv="expires" content="0">
    [...]


    Was aber geht:
    1. Mit zb firefox auf http://fritz.box/ - passwort eingeben
    2. Browser schliesen (zb firefox)
    3. zb IE öffen und zur Übersicht

    Was nicht geht:
    1. auf PC1 einloggen
    2. mit PC2 ohne pw direkt zur Übersicht

    Trotzdem ist das unsauber.
    Jemand könnte die IP spoofen und hat dann vermutlich Zugriff.
    Macht aber nix denn das Passwort wird sowieso Plaintext übertragen.
    Trotzdem sollte man ein Passwort gesetzt haben.
    Eine böse Internetseite mit Frames oder Javascript ... mehr will ich nicht erläutern.
    Klar, wenn man sich einmal eingeloggt hat nutzt auch dann das pw nicht
    Auch das ändern der fb-IP nützt nicht da der dns immer passt.

    Das einzige was hilft:
    Man könnte in der hosts-datei nen falschen eintrag machen (zb fritz.box 0.0.0.0) und die IP der fb ändern aber wer macht das schon :p



    getestet mit Fritzbox fon wlan 08.03.23
     
  10. veipaaa

    veipaaa Mitglied

    Registriert seit:
    26 Sep. 2004
    Beiträge:
    249
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Hattingen
    Also ich werde jedes Mal nach meinem Passwort gefragt.

    Gruß
    Frank
     
  11. khigh

    khigh Neuer User

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Kudde @veipaaa
    seid ihr sicher das bei euch das PW immer abgefragt wird?
    wäre eigentlich seltsam wenns bei euch anders wär, denn dann müsstet ihr bei jedem (unter)seitenaufruf das pw erneut eingeben, was nicht geht da man nach der pw eingabe immer auf der Übersichtseite landet.
    ---

    In der ar7.cfg gibts den Abschnitt

    websrv {
    port = "80";
    read_timeout = 15m;
    request_timeout = 30s;
    keepalive_timeout = 5m;
    [...]

    Mit einem der beiden Einträge
    read_timeout = 15m;
    keepalive_timeout = 5m;
    lässt sich evtl. das Zeitfenster nach der Passworteingabe einstellen.

    Ich glaub avm hat aber ne Logout-funktion in Vorbereitung um dem Timeout zuvorzukommen.

    Für ganz Paranoide bietet sich noch an den Port zu ändern.
    Die Kombination: Passwort, geänderte Fritzbox-IP, geänderter Port und gefakte Host-Einträge in der client host-datei würde die Sicherheit etwas raufsetzen.

    Aber es geht noch besser, viel besser.
    haveaniceday's mod anwenden, den sshd starten, den webserver an localhost binden und/oder mit der firewall port 80 dicht machen. Und dann nur noch über ssh-tunnel aufs Webinterface zugreifen!
    In Firmen oder in sonstigen unsicheren Netzen ist das zur Zeit die einzige Möglichkeit die Fritzbox wirklich dicht zu kriegen.

    Was AVM verbessern könnte wäre SSL und SSH zu implementieren damit auch Ottonormaluser in dem Punkt abgesichert ist und nicht irgendwo ein illegales Image ziehen muss nur damit das Webinterface sicher ist.
    Denn die meisten können mit haveaniceday's mod eher nichts anfangen oder wissen überhaupt davon. Das muss defaultmäßig sicher sein, was die box ansonsten ja auch ist.
     
  12. Kudde

    Kudde Aktives Mitglied

    Registriert seit:
    30 März 2004
    Beiträge:
    2,148
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Augsburg
    das pw wird nur bei jedem erstzugriff abgefragt, wenn ich es offen lasse, brauche ich logischerweise nix einzugeben. schmeiss mal den firefox weg, mit ie klappt es tadellos.



    kudde
     
  13. khigh

    khigh Neuer User

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    habs mit IE, Firefox und Mozilla getestet.

    erklär mal wie du vorgehst.
    du gehst nicht zufällig immer auf http://fritz.box ?
    Denn da kommt in der Tat IMMER die Passwortabfrage, egal ob du den Browser zumachst oder nicht.

    Der Effekt tritt auf wenn man eine Unterseite direkt aufruft.
    wer lesen kann....


    Den Firefox werde ich beim besten Willen nicht wegschmeisen :lol: