7270 - nach Hause telefonieren, trotz freetz

[cando]

Das sind 2 verschiedene Baustellen. Das eine ist eine UI Geschichte im Javascript, das Andere steckt irgendwo in der Firmware - ich nehme mal an im closed source Bereich.

Die ftp Aufrufe werden zuverlässig per OUTPUT Regel nach wie vor weggefangen, ich habe bisher keine Methode gefunden, die Versuche ganz zu unterbinden / abzuschalten.

Das mit dem GUI ist mir auch nicht sofort aufgefallen, da die Scripte ja auf dem Client PC laufen und nicht die OUTPUT chain in Richtung AVM passieren, sondern die FORWARD chain. Die hatte ich aber zu AVM offen gelassen (z.B. beim freetz Bau zum Download der Sourcen und zum Surfen bei AVM) und nicht weiter angesehen.

Eigentlich wollte ich nur diesen Timeout und die neue Verhinderung der gleichzeitigen Anmeldung von mehreren Stationen wegpatchen und hab mir das Javascript Zeug angesehen und bin dann darüber gestolpert.

Es gibt sicher bessere Methoden zu Prüfen, ob das Internet geht, es muss ja nicht böser Wille sein - es gehört sich halt einfach nicht die eigenen Server einfach unaufgefordert anzusprechen - das ist meine Meinung dazu.

Im übrigen gilt das auch für alle Websites, die google analytics, zanox, doubleclick und ähnliche Dinge includen. Entweder wertet der Betreiber sein Traffic selber aus - was OK wäre, denn ich besuche ja seine Seite - oder er lässt es sein.

Das er willentlich zuläßt dass ich beim Besuch bei ihm von Dritten ausspioniert und verfolgt werde ist ein No-Go. Leider kann man sich nur gegen die plumpen clientseitigen Dinge einigermassen zur Wehr setzen (cookies, pixel, includes etc...), bei Server Includes ist man ziemlich machtlos, da der Server die Daten sammelt und im Hintergrund an Google & Co über eine neue Verbindung weitergibt, auf die man so gar kein Einfluss mehr hat - man bekommt es ja nicht einmal mehr mit.

 

[Silent-Tears]

@cando: Es ist jedes Serverbetreibers gutes Recht, die Auswerttungen & Co dritten zu überlassen, sofern die Datenschutzbestimmungen dort weiterhin Geltung tragen. Ich habe selber einige Server im Betreib, und es gibt tatsächlich Kunden, die gern von einer 3Firma irgendwelche bunteren Charts, Excel-Sheets und Co präsentiert bekommen als ein wenig "Standard-Webstatistiken".
Alles weitere ist pure Unterstellung und ich würde das hier nicht gern sehen, es sei denn, du hast irgendwelche rechtskräftigen Beweise, die deine Behauptungen untermauern.
@Herman: Das JS macht nichts anderes, als eine Grafik vom AVM-Server zu laden per Script und anhand dessen festzulegen, ob sie wirklich online ist. Letztendlich kannst du auf einen beliebigen Webspace eine entsprechende Grafik platzieren und die URL darin austauschen (Allerdings muss es ein "valides" ImageObject sein, damit das funktioniert).
Weiterhin speichert das Script noch den Timestamp des Files (und/oder den aktuellen), mehr echt nicht. Und auf AVM-Seite taucht das in den Logfiles auf, was dort sogar beim Aufruf der AVM-Seite selbst gespeichert wird. OS, Browser, Fähigkeiten des Browsers. Eben das übliche, was auch dort auftaucht, wenn du nach irgendeiner Infor dort suchst oder die automatisierte "checkforupdate"-Funktion aufgerufen wird. Deswegen sehe ich nicht so ganz die Riesenpanik und Verfeindung, die hier gemacht wird.
Wie gesagt ,es ist ein minifile, dass geladen wird, timestamp verglichen, und anhand dieses Objects wird entschieden, ob die Box online ist oder nicht, und eben auch die Option zum EMailtesten dargestellt oder nicht.
Es ist nun einmal die Zuverlässigste Methode zu testen, ob man online ist, ob man an irgendwelche Dateien/Files auf entfernten Servern zugreifen kann. Und dort nimmt man natürlich nicht google oder heise oder sonst etwas, was der Privatmensch ohne eigenen Server nutzt, sondern den eigenen, denn damit zumindest spart man sich Ärger mit anderen Serverbetreibern und kann (theoretisch) garantieren, dass das File auch vorhanden ist. Böse Absicht zu Unterstellen ist also nicht zwangsläufig immer der gute Weg.

 

[hermann72pb]

@Silent-Tears: Du sagst, das wäre eine totsichere Methode es herauszufinden, ob die Box denn online wäre oder nicht. Dies widerspricht sich aber mit dem, was cando da rausgefunden hat. Denn es wird nicht festgestellt, dass die Box online ist, sondern, dass dein Browser (wo die Javascript-Dinge laufen) denn ins Netz kann. Ich verstehe da -ehrlich gesagt- die Motivation nicht, die dahinter liegt.
Panikmachen lass uns bei Seite lassen. Es geht nun darum, es zu verstehen, warum AVM so macht.
Und da kann man Tausende wirklich zutreffende Fälle konstruieren, bei denen die Box ja online ist, dein Browser samt JavaScript-Routine aber nicht. Deswegen ist die Methode von AVM in meinen Augen ziemlich daneben. Warum nehmen sie nicht die altbekannte, bewehrte ping-Methode? Denn, das würde ja auch zum Online-Test vollkommend ausreichen. Dafür könnte man sogar 2-3 redundante Server spendieren (subdomains, von mir aus), die dann nur diese Pings beantworten. So würde ich es realisieren. In dem Falle würde keiner auf die Gedanken kommen, dass ich jemanden ausspionieren will. Dies über so einen Umweg zu machen, wie AVM es tut ist ziemlich unüblich und daher verdächtig. Es sei denn, AVM-Entwickler kommen aus der Web-Programmierung-Welt und haben mit ping, Linux & co wenig zu tun. So zusagen historisch gewachsen...

MfG

 

[RalfFriedl]

Ein HTTP-Request läßt sich mit einem Browser sehr leicht erzeugen, ein ICMP-Ping überhaupt nicht.

 

[hermann72pb]

@RalfFriedl: Das ist schon klar. Sie haben aber ihre Box doch irgendwo im Hintergrund laufen und schließlich geht es doch darum, ob die Box online ist, nicht der Rechner mit dem Browser.

MfG

 

[Silent-Tears]

@herman: Wann z.B. benötigst du denn Routinen zum Testen des Mailversands? Denn nur dort wird dieses Ding aktuell benötigt und aufgerufen. Das brauchst du nur, wenn du mit der Box im Netz bist und dort Sachen einstellst. Oder macht deine Box so etwas allein?
Deswegen hat Ralf recht. Es wird ein http-request gemacht, weil alles andere eben nicht vom Browser aus machbar ist, bzw. dies eine Methode ist, die funktioniert.
herman: Was würdest du mackern, wenn deine Box ständig testet, ob sie online ist und alle paar Minuten den AVM-Server (als Beispiel) versucht zu erreichen?
Ein Ping btw. kann geblockt werden, vor allem, wenn man dann im Client-Mode ist, und dort hat man auch nicht zweifelsfrei eine externe IP oder ähnliches.

Um übrigens noch einmal aufzuklären, weil Cando vergessen hat, auf die Tatsachen einzugehen:
Diese Js-Function wird ausschliesslich bei Mail-Einstellungen aufgerufen und niirgends sonst. Daran sieht man dann, was das (evtl. unbeabsichtige) Weglassen von Informationen auslöst, ob aus Ahnungslosigkeit oder Unbedachtheit ist dabei egal. Früher wurden dann Hexne verbrannt oder sonst etwas, heute werden 1000ende von wget-Aufrufen an einen Server geschickt mit der Absicht zu schaden.

Ehrlich mal, aus so einem Scheiss lasst mich raus.

 

[cando]

@Silent-Tears

Es geht nicht um Hexenjagd und um Schaden Anrichten, sondern um Sensibilisierung für das Thema Privacy. Leider ist das bei AVM nicht gerade en vogue...

Das sieht man an der Produktentwicklung mit dem PlugIns-Nachladen bei jedem Booten vom Hersteller Server (was wir mit statischem Bauen bei freetz ja beseitigt haben), an Produken wie das Fritz!Mini, die sich weder anschliessen noch entfernen lassen, ohne Mithilfe des AVM Internet Servers.

Es ist einfach nicht OK. Wenn ich ein Telefon anbiete (FritzMini), und es Zusatzsoftware braucht für die Registrierung an der Box, dann liefere ich sie auf CD mit, oder gebe einen Link an, von der man sich diese holen kann (Gini). Dann macht man offline damit notfalls die Config und später alle seine Änderungen.

Es kann doch nicht angehen, dass ich bei jeder Änderung auf die Verfügbarkeit des Internets und des Hersteller Servers angewiesen bin. Ohne Internet Verbindung zu AVM kann ich nicht mal das Gerät aus der Liste wieder löschen.

Und diese Nachlässigkeit und Ignoranz gehört diskutiert, damit die Produkte besser werden.

AVM hat ja "reagiert", wenn ich die Neuerungen der Labor FW richtig deute, ich glaube gelesen zu haben, dass man wohl künftig die automatische Suche nach neuer FW abschalten kann.

Das nächste Thema ist die Hilfe - Funktion. Es ist ja schön, das man die Hilfe im Internet hat und aus der Box verlinkt, was ist denn aber wenn man Hilfe braucht beim Einrichten, wenn das Internet noch gar nicht funktioniert?

Ein Produkt sollte nicht von der Verfügbarkeit des Hersteller WebServers abhängen. Bei der Box besteht dafür ja auch gar kein Grund.

 

[Silent-Tears]

cando, das ändert nichts daran, dass du mit deinem Image-Objekt eine Falschaussage getroffen hast. Diese wird _ausschliesslich_ aufgerufen, wenn man die Push-Settings aufruft, und nicht ständig und kontinuierlich.
Deine Paranoia hat dich anscheinend davon abgehalten, auch nur Ansatzweise zu gucken, was dort passiert, bevor du deine "Erfolgsmeldung" gebracht hast. Und das ist einfach Panikmache und eine Falschaussage. Nicht mehr, nicht weniger (wenn man eventuelle persönliche Gründe aussen vorlässt).
Ich frage mich, wieso du eine Fritzbox nutzt, und nicht einen Rechner, den du selber programmiert hast, incl OS, damit auch ja _nichts_ passiert.
Einiges, was du als "nach-huas-teloefonieren" und "webbug" und sonstwie bezeichnest, bezeichnen andere als Komfortfunktionen. Ergo: Wenn du schon aufklären willst, dann bitte mit Sachverstand und vernünftiger Recherche, und ebenso ohne persönliche Färbungen darin. Denn ansonsten bleibt es einfach Panikmache, die ohne jeglichen fachlich kompetenten Hintergrund vorgetragen wird und hat nahezu Bildzeitungsniveau. Unda davon distanziere ich mich eindeutig und zwar sehr weit.
Und bevor ich nun falschverstanden werde: Meine Box ist auch ein wenig besser abgesichert als manch andere Box, aber eben nicht auf eine paranoide Art und Weise, sondern mit ein wenig Sinn und Verstand.

Übrigens jkannst du deinen Mini jederzeit löschen. Ein Recovery oder das setzen auf WErkseinstellungen funktioniert tadellos auch ohne Internet.

 

[cando]

Super Idee, um ein Mini wieder zu entfernen...

:groesste:

Es hat nichts mit Paranoia zu tun, wenn man sich gegen Übergriffe auf die Privatsphäre seitens der viel besser ausgerüsteten Hersteller wehrt.

Natürlich dient die Datensammelwut nur der Produktverbesserung und für Komfortfunktionen, was denn sonst??? War doch bei verschiedenen staatlichen Institutionen vor 20 Jahren auch nicht anders... Was hat der Mielke damals gesagt: Ich liebe doch alle Menschen... Und weil er alle gut riechen konnte, hat er sogar Geruchsproben von seinen Landsleuten konservieren lassen.

Versteh mich nicht falsch: ich habe nichts dagegen, dass Daten zu Marktforschungszwecken erhoben werden, aber bitte nach Rückfrage / Hinweis. Und wenn eine Kiste "Komfortfunktionen " hat, die ein Verbindungsaufbau unvermeidlich machen, dann bitte sauber dokumentiert und abschaltbar. Das ist eine Frage des Respekts, Anstand und Höflichkeit. Das ist doch wohl nicht zu viel verlangt, oder?

Ich weiss ja nicht in welcher Beziehung Du zu AVM stehst, aber diese Verharmlosung ist unangemessen. Natürlich kannst Du Dich von allem distanzieren, es ist Dein gutes Recht, und Du hast das Privileg eine eigene Meinung haben zu dürfen. Es gibt Dir aber nicht das Recht auf Andersdenkende Herumzuhacken. Selbstverständlich darfst Du auf Deine Privatsphäre verzichten und du kannst auch gern ins Big-Brother Haus einziehen. Aber nur weil Du darauf verzichtest, heisst es noch lange nicht, dass auch jeder andere es über sich ebenfalls ergehen lassen muss.

Wieso ich eine FritzBox nutze? Weil sie von der Hardware her vielseitig ist und ich an das OS herankomme und sie notfalls modifizieren kann. Andernfalls würde ich mir wahrscheinlich eine Netscreen oder Ähnliches gönnen.

 

[Silent-Tears]

@cando: BTT. Du weichst aus, dass du deinen "webbug" nicht koirrekt dargestellt und recherchiert hast. Schlicht und einfach.
Meine Beziehung zu AVM übrigens ist tatsächlich keine andere als deine. Ich nutz die kisten, weil sie praktisch sind, und weil ich modifizieren kann. Deswegen aber unterstelle ich nicht jedem Furz bösartige Absicht.

Ich erkläre es nun noch enmal für dich, weil du es anscheinend nicht verstehen willst: Eine JS-Funktion, die ungefähr einmal pro Grundeinstellungmachen aufgerufen wird ist _kein_ Webbug. Lass es dir auf der zunge zergehen, weil du den Code nicht analysiert hast. Genau einmal, und zwar dann, wenn man in die Push-Service Einstellungen geht, und diese noch nicht eingerichtet sind und nicht deaktiviert, wie sie das normalerweise von Haus aus sind.

Du verbreitest hier Falschaussagen und pushed eben diese Thematik gewaltig, ohne dabei zu verstehen, was dort passiert.

Was deinen Kommentar zu "Anstand", "Höflichkeit" und sonst etwas geht: Ich bin mir ziemlich sicher, dass so etwas in der Geschäftswelt einen Scheissdreck gilt, und vor allem, das jeder User irgendwo den AGB zugestimmt hat, und darin sich irgendein Absatz dazu findet.
Und weiterhin und noch einmal: Es ist eine deinerseits eine Unterstellung, dass AVM diese Daten eben auf diese Art und Weise speichert bei dne Zugriffen. Auch dies ist eine Bhauptung, die vielleicht naheliegt, aber dennoch deinerseits nicht zu beweisen ist, weil du keine Zugriffe auf deren Logfiles hast. Dazu dann einen Vergleich mit Stasimethoden ist gelinde gesagt wohl eher ein Fall für einen Fachmann.

Und deswegen bitte ich dich noch einmal, deinen Standpunkt zu eben genau diesem Punkt zu überdenken und deine "Kurzschlussreaktion" zuzugeben, denn so ist er schlicht falsch und eher deiner überschäumenden Phantasie zuzuordnen und nichts anderen.

 

[hermann72pb]

Ach Leute, lass uns mal runterkommen. In gewissen Grenzen hat jeder von uns Recht. Ich mit meinen nahezu terroristischen Ideen, cando mit seinen für manche paranoidal klingenden Verdächtigungen und auch Silent-Tears mit seinen praktischen Überlegungen und Quellcode-Analysen.
@Silent-Tears: Lass bitte cando sein Zeug tun. Ohne einer gewissen Panikmache, die a-la Bild-Zeitung zunächst mal aufgestellt werden kann wird keiner hier von alleine darauf kommen, geschweige was dagegen tun. Gib doch einfach zu: Hätte cando es nicht behauptet, hättest du kaum in die verdächtigen Quellcodebereiche reingeschaut. Und so profitieren wir alle davon und wissen jetzt deutlich mehr, dass es nämlich nicht so schlimm ist. Die Welt tendiert leider tatsächlich letzte Zeit in die Richtung zu kippen, die wir von den alten Stasi-Zeiten kennen. Deswegen finde ich den Vergleich von cando nicht ganz und völlig verkehrt, obwohl es so krass klingen mag. Man kann natürlich nicht behaupten, dass wir jetzt alle flachdeckend überwacht werden, es kann aber schnell dazu kommen, wenn wir nicht wach bleiben und wenn wir nichts dagegen unternehmen.
@cando: Such weiter und gib es uns hier bekannt, wenn du noch etwas Verdächtiges findest. Allerdings versuche es bitte so umzumanteln, dass keiner hier daraus voreilige Schlüsse zieht. Vielleicht lehnst du dich an die bekannte Sendung von euronews, die "no comments" oder irgendwie ähnlich heißt.
@mich: Ich werde versuchen meine terroristischen Ideen künftig für mich zu behalten.

ok?

MfG

 

[cando]

:bier:

OK, OK...

Machen wir's einfach: ich bin über die Stelle gestolpert auf der Suche nach was anderem. Ich habe nicht den gesamten Code reverse - Engeneert - der Verdacht lag nahe (allgemeine Funktion in einer separaten Datei im include Verzeichnis) Verdacht hat sich nicht erhärtet, Dank der Recherche von Silent-Tiers und all der anderen.

Die Funktion wird an 2 Stellen aufgerufen:

• Beim Einrichten von e-Mail (Wozu eigentlich der online check, anstatt gleich eine Verbindung zum MailServer?)
• Beim Aufruf von Hilfe-Seiten

Keine Panik. Neue Erkenntnisse werden gern gepostet...

Was die Funktion nun genau macht und wieso sie Parameter braucht (?), welche das sind und wozu man einen callback handler braucht ist mir nach wie vor unklar:

...
		var theUrl = [this.imgUrl];
		if (nocache) {
			[B]theUrl.push((new Date()).getTime());[/B]
		}
		this.isOnline = -1;
		this.running=true;
		this.image.src = theUrl.join([B]"?"[/B]);
...

Wieso muss man beim PixelAufruf die lokale Systemzeit anhängen?

 

[Silent-Tears]

[*] Beim Einrichten von e-Mail (Wozu eigentlich der online check, anstatt gleich eine Verbindung zum MailServer?)

Es gibt einen "Testen"-Button, der nur angezeigt wird, wenn dieses beanstandete JS-ImageObject valide ist, auf gut deutsch, die Box Online, sonst nicht. Und damit ist die (aktuell) einzige Funktion dieses "webbugs" aufgedeckt. -.-

 

[cando]

Ok, und wofür braucht so ein AVM Pixel meine Systemzeit?

 

[Silent-Tears]

Für die Überprüfung wegen der Systemzeit. Einige Funktionen im Webinterface tuns nicht sauber, wenn die Systemzeit nicht korrekt gesetzt ist. Ist sicherlich schon einigen über den Weg gelaufen...

Ich schlag allerdings trotzdem vor, entweder die URL zu ändern, oder nen Pixel vom Localhost aufzurufen

 

[cando]

Du meinst also, dass AVM damit seine Systemzeit auf dem Server setzt....

 

[Silent-Tears]

Vielleicht brauche nsie dabei Hilfe, mag sein

Cando, kannst du mal was probieren bitte? Die Aufreufe von "OnlineCheck(url)" mal zu ersetzen durch "OnlicheCheck(null)", was dann bei dir rauskommt? Ich kann grad nicht.

 

[cando]

Wie soll denn das gehen, ohne Firmware neu flashen?

Übrigend, der Test Button für den Benachrichtigungsdienst ist bei mir trotz Blocken des Verkehrs sichtbar...

 

[Silent-Tears]

Ja, da kommen auch noch enige Bedingungen mehr zu tragen.

var g_isOnline="<? query connection0:status/connect ?>" == "5";
var g_hasLocaltime = !!("<? query box:status/localtime ?>");

Ansonsten ein "mount -o bind ..." hilft

 

[cuma]

Ok, und wofür braucht so ein AVM Pixel meine Systemzeit?

Also eigentlich wird die als Parameter angehängt, damit der Webbug neu abgerufen wird und keiner aus dem Cache genommen wird. Das Bild erscheint also immer als ein neues