Checkitout
Neuer User
- Mitglied seit
- 21 Mai 2005
- Beiträge
- 142
- Punkte für Reaktionen
- 0
- Punkte
- 0
Weil bei mir im LAN/WLAN keiner außer ICH rankommt/arbeitet...Checkitout: Warum hast du eigentlich kein Kennwort gesetzt?
Weil bei mir im LAN/WLAN keiner außer ICH rankommt/arbeitet...Checkitout: Warum hast du eigentlich kein Kennwort gesetzt?
Und was ist mit dem Zugriff über Internet!? Eine feste Adresse (DynDNS) hast du ja immerhin schon konfiguriert. Du hast ja ein wirklich "großes" Vertrauen......im LAN/WLAN keiner außer ICH rankommt/arbeitet...
Ich gebe zu, dass dies wieder ein richtiges Thema zum Diskutieren ist, doch das will ich nicht... . Aber zu deiner Aussage und zu der Ansicht von Checkitout möchte ich nur folgendes hinzufügen:...da kommt von aussen eh niemand dran, solange man nicht über "fremdsoftware" diese oberfläche von aussen zugänglich macht...
Das zeigt, dass die ganze Diskussion über die Sicherheit der Box doch nicht ganz unberechtigt ist.Das Zertifikat von xxx.dyndns.org:443 mit dem SHA1-Fingerprint XX YY ZZ... ist verwundbar. Sie sollten schnellstens handeln: Widerrufen Sie Ihr Zertifikat und lassen Sie sich ein neues ausstellen, wobei Sie darauf achten müssen, einen neuen privaten Schlüssel zu benutzen.
Okay, da ist was dran.es ist unwahrscheinlich, dass ausgerechnet du mit deiner dyndns-adresse opfer eines angriffs wirst. zur sicherheit hab ich aber meine dyndns-adresse im beitrag anonymisiert.
So sehe ich das auch.Zu glauben, dass man selbst nicht Ziel von Angriffen wird ist sehr blauäugig.
Ihre Ticket-ID CID1856225
vielen Dank für Ihre Anfrage.
Wir verfolgen sehr aufmerksam die Berichterstattung zum Fehler im
Zufallsgenerator bestimmter Distributionen des OpenSSL-Pakets und haben
daraufhin sämtliche unserer Produkte auf mögliche Auswirkungen hin
überprüft.
Dabei haben wir festgestellt, dass das in der FRITZ!Box enthaltene
Zertifikat zur HTTPS-Fernwartung mit einer betroffenen OpenSSL-Version
erstellt wurde. Das genannte Zertifikat wird jedoch weder zur
Benutzerauthentifizierung (Zugang zur Benutzeroberfläche) noch für die
Verschlüsselung der Verbindung genutzt. Es dient lediglich dazu, den
HTTPS-Verbindungsaufbau zu erleichtern und hat darüber hinaus keine
Funktion.
Wir konnten keine Bedrohung für die Sicherheit Ihres FRITZ!Box-Netzwerkes
feststellen und haben deshalb entschieden, keine unmittelbaren Maßnahmen zu
ergreifen.
Die FRITZ!Box benutzt weitere Funktionen von OpenSSL (z.B. im Rahmen der
VPN-Aushandlung oder um Zufallszahlen für die Session-Key-Aushandlung zu
erzeugen). Die dazu verwendete OpenSSL-Version ist nicht von o.g. Fehler
betroffen.
Nachfolgend haben wir die aktuelle Situation für Sie zusammengefasst:
- Der Zugang zur Benutzeroberfläche der FRITZ!Box ist ohne Kenntnis des
Kennworts in keinem Fall möglich.
- Das HTTPS-Zertifikat der FRITZ!Box wird nicht zur Authentisierung
(Nachweis der Identität des Benutzers) verwendet.
- Das Abhören einer HTTPS-Verbindung zur FRITZ!Box ist in keinem Fall
möglich.
- Innerhalb der FRITZ!Box wird eine OpenSSL-Version verwendet, die nicht
vom o.g. Fehler betroffenen ist.
Mit freundlichen Grüßen aus Berlin
xxx xxx (AVM Support)
Prof. Dr. YoMan schrieb:Folgendes habe ich als Antwort zu dem unsicheren SSL Cert von AVM bekommen:
Mir ist nicht ganz klar wie ohne Benutzung des Zertifikats eine sichere Verschlüsselung der Passworteingabe und des restlichen Transfers möglich ist.Ihre Ticket-ID CIDxxxxxxx
vielen Dank für Ihre Anfrage.
Wir verfolgen sehr aufmerksam die Berichterstattung zum Fehler im
Zufallsgenerator bestimmter Distributionen des OpenSSL-Pakets und haben
daraufhin sämtliche unserer Produkte auf mögliche Auswirkungen hin
überprüft.
Dabei haben wir festgestellt, dass das in der FRITZ!Box enthaltene
Zertifikat zur HTTPS-Fernwartung mit einer betroffenen OpenSSL-Version
erstellt wurde. Das genannte Zertifikat wird jedoch weder zur
Benutzerauthentifizierung (Zugang zur Benutzeroberfläche) noch für die
Verschlüsselung der Verbindung genutzt. Es dient lediglich dazu, den
HTTPS-Verbindungsaufbau zu erleichtern und hat darüber hinaus keine
Funktion.
Wir konnten keine Bedrohung für die Sicherheit Ihres FRITZ!Box-Netzwerkes
feststellen und haben deshalb entschieden, keine unmittelbaren Maßnahmen zu
ergreifen.
Die FRITZ!Box benutzt weitere Funktionen von OpenSSL (z.B. im Rahmen der
VPN-Aushandlung oder um Zufallszahlen für die Session-Key-Aushandlung zu
erzeugen). Die dazu verwendete OpenSSL-Version ist nicht von o.g. Fehler
betroffen.
Nachfolgend haben wir die aktuelle Situation für Sie zusammengefasst:
- Der Zugang zur Benutzeroberfläche der FRITZ!Box ist ohne Kenntnis des
Kennworts in keinem Fall möglich.
- Das HTTPS-Zertifikat der FRITZ!Box wird nicht zur Authentisierung
(Nachweis der Identität des Benutzers) verwendet.
- Das Abhören einer HTTPS-Verbindung zur FRITZ!Box ist in keinem Fall
möglich.
- Innerhalb der FRITZ!Box wird eine OpenSSL-Version verwendet, die nicht
vom o.g. Fehler betroffenen ist.
Mit freundlichen Grüßen aus Berlin
Xxxxxx Xxxxxx (AVM Support)
Ich könnt euch ja an das Ticket mit dran hängen, hab die Nummer deswegen extra mit angegeben.