[Gelöst] Bin nicht mehr telefonisch erreichbar

[henry90]

vorher:
UDVmbUNWUGVORVJ4SmVNb0pnaVZJVkZsYnVnPT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=";
}

nachher:
UDVmbUNWUGVORVJ4SmVNb0pnaVZJVkZsYnVnPT0KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=";
}

also voll identisch, leider.

 

[B612]

Nein die aller letzte Zeile der Datei sieht ganz anders aus. Und die Checksumme ist auch nur so um 8 Zeichen lang. So sieht die aus:

**** END OF EXPORT A7E378F1 ****

 

[henry90]

Also nochmal, das müsste es dann sein:

vorher:
**** END OF EXPORT A9B95BD2 ****

nachher:
**** END OF EXPORT C7F0A446 ****

Die Checksummen sind also doch unterschiedlich.
Werde gleich anschließen versuchen, die geänderte export-Datei in die Fritz zu bringen und mich dann melden.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Leider leider, die Fritz mag die geänderte export-Datei nicht. Habe das gestern schon feststellen müssen. Hielt die Verweigerung fälschlicherweise aber als eine Folge gleicher Checksummen.

Die Fritz meldet:
"Die angegebene Datei ist keine gültige Import-Datei"

 

[PeterPawn]

Vielleicht ist immer noch “NoChecks“ im Kopf der Datei gesetzt - leicht zu sehen, da Klartext.

 

[henry90]

In der vom FBEditor abgespeicherten export-Datei ist der String "NoChecks" nicht zu finden.
In den FBEditor.properties.xml steht NoChecks auf false.

Klappt denn diese neue Art der Editierung der export-Datei mit dem FBEditor bei anderen und nur bei mir nicht?

 

[KunterBunter]

Ja. Allerdings verwende ich eine andere Version des FBEditors.

 

[erik]

Bei mir ging auch nur eine Version des FB-Editors, und die begann mit 6.xxx
Deshalb bearbeitete ich die Datei zuletzt manuell und habe die Checksumme online berechnen lassen, auf https://fbedit.com/fritzbox-tools/upload-berechnung-der-checksumme-deiner-fritzbox-konfiguration/

 

[henry90]

Hallo KunterBunter!
Welche denn?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

@erik

Das ist ja die Wucht!

Nun endlich. Hat geklappt!
Die editierte export-Datei ist in der Fritz.

Vielen Dank
Henry

 

[KunterBunter]

die begann mit 6.xxx

Meine nicht, die heißt FBEditor-0.6.9.7k.

 

[PeterPawn]

habe die Checksumme online berechnen lassen, auf [...]

Ehrlich ... ich kann ja noch verstehen, wenn das jemand im Browser machen will - dann nimmt er halt die JS-Version vom Engelke und gut ist's, denn die arbeitet dann auch lokal in seinem eigenen Browser.

Aber eine Webseite einzurichten, auf der ein FRITZ!Box-Besitzer seine eigenen Daten für den (externen) Admin-Zugriff auf seine Box eingeben soll und dann lädt dieser Server die Datei extern von der Box, um sie dem Besitzer danach über einen Download zur Verfügung zu stellen, ist doch "ziemlich drüber".

Selbst wenn man den Versicherungen des Site-Betreibers Glauben schenken will und die Daten tatsächlich nach fünf Minuten gelöscht werden, funktioniert das - hoffentlich immer - gar nicht, wenn man seine FRITZ!Box so sicher eingestellt hat, wie man es - gerade als jemand, der es hilfreich findet, diese Daten einem Fremden anzuvertrauen - eigentlich machen sollte. Ich hoffe mal inbrünstig, daß die dort ebenfalls vermerkten Probleme mit Versionen 07.25+ auch damit zusammenhängen, daß AVM da event. bestehende Lücken bei der 2FA geschlossen hat (ich würde diese Probleme eigentlich schon für vorhergehende Versionen erwarten, wenn's bei AVM keine Lücken gab).

Denn eine aktivierte 2FA sollte (wenn AVM keine Fehler eingebaut hat - und ich werde das garantiert nicht selbst mit einer Box auf der Webseite probieren, nicht mal mit einer zum Testen) einen solchen Download sowohl über den direkten Aufruf des AVM-GUI, als auch über die TR-064-Schnittstelle (die ja auch auf diesem Weg erreichbar ist unter dem Pfad /tr64) wirksam verhindern ... zumindest ist es so gedacht.

Da verstehe ich auch den Anbieter dieser Webseite nicht mal im Ansatz ... selbst wenn man tatsächlich nur "Hilfsbereitschaft" annimmt und Beihilfe zur Selbsttötung wegen fehlender Strafbarkeit der hauptsächlichen Tat nicht strafbar ist (zur Abgrenzung der letztlich zum Tode führenden Handlung sei auf juristische Aufsätze verwiesen), so wäre das bei "gewerbsmäßiger Erbringung" (§217 StGB) ja sogar wieder gesetzwidrig (auch wenn ein Selbst"mord" - um es mal umgangssprachlich zu fassen - im Bezug auf die Sicherheit der eigenen Daten natürlich nicht mit dem körperlichen Ableben einer Person gleichgesetzt werden kann).

Aber das ist genauso eine "nette Quelle" zum Sammeln von Credentials für den Zugriff auf fremde FRITZ!Boxen, die man dann - dank DynDNS-Namen - sogar jederzeit im Netz wiederfinden könnte. Und dann ist das noch "WordPress" ... wo es bei diesem CMS und seinen Plugins von verschiedensten Urhebern ja auch nur selten irgendwelche Lücken gibt, mit denen Fremde dann die Installation übernehmen können und ich würde jetzt nicht direkt darauf wetten, daß solche Angreifer sich dann ebenfalls an das Versprechen mit den "max. fünf Minuten gespeichert" halten würden.

Obendrein sind für mich schon in dieser einen Seite: https://fbedit.com/fritzbox-tools/sichern-download-der-fritzbox-konfiguration-aus-deiner-fritzbox/ so viele orthographische Fehler, daß das wohl eher als Negativ-Werbung für eine seriöse Firma anzusehen wäre ... wenn es die Firma tatsächlich gibt und das wirklich nur "gute Absichten" sind (warum erklärt man dann den Leuten nicht einfach noch einmal genau, wie man die Tools vom Engelke benutzt - oder verweist gleich auf seine eigenen Erklärungen?), dann ist das in meinen Augen jedenfalls eine ziemlich katastrophale Außenwirkung:

(Quelle: https://fbedit.com/fritzbox-tools/sichern-download-der-fritzbox-konfiguration-aus-deiner-fritzbox/ - Stand 10.03.2022)

Gleichzeitig entzieht sich die Seite mit einer eigentlich gar nicht erforderlichen Cookie-Einwilligung (die auch nicht unterscheidet, für welche Zwecke die Zustimmung TATSÄCHLICH erteilt wird) auch noch der Archivierung durch archive.org, denn die scheitert dann am verwendeten JS-Code für diese Zustimmung (Spider von Suchmaschinen werden aber wohl gesondert behandelt und müssen nicht "erst klicken").

Die deutsche Domain fbedit.de (zu der man dann bei Problemen auch noch die Auskunft über den Domain-Inhaber erhalten könnte) verweist gleich wieder auf die Domain fbedit.com und das Ganze läuft dann auch noch über Cloudflare (was legitim sein kann, aber genauso einen Server irgendwo in den Weiten des Internets als Quelle dieser Website verschleiern kann).

Auf sämtlichen Seiten, die ich dann mal probehalber geladen habe von dort, wird jedenfalls nur der - durch die "Zustimmung" gesetzte - Keks:

verwendet - es gibt also gar keinen echten Grund, hier für eigene Cookies eine Zustimmung einzuholen und die für "fremde Seiten" (immerhin lädt die Seite auch noch von Google nach, wenn man sie läßt - obwohl es auch dann (zumindest nach dem Keks) funktioniert, wenn man solches Nachladen blockiert) wäre ohnehin unwirksam, da der Benutzer gar nicht genau erkennen kann, WOFÜR er die Zustimmung erteilt hat/erteilen soll.

Aber es gibt diese Firma ja tatsächlich (zumindest bei der Suche im Netz und eine Handelsregisterauskunft ist kostenpflichtig: https://www.berlin.de/gerichte/amts...terauskunft/onlineregisterauskunft-355653.php) ... nur ist das dann - in meinen Augen und das mag auch nur meine persönliche Einschätzung sein - einigermaßen unprofessionell in der gesamten "Anmutung" - von der Absicht (so "gut gemeint" die auch sein mag, aus Security-Sicht stellen sich einem die Haare zu Berge, wenn man mal überlegt, was da alles an "Sekundärdaten" in so einer Sicherungsdatei steckt und was ein Angreifer damit alles anfangen kann) über die Realisierung bis zum Erscheinungsbild.

Von denkbaren Konflikten beim Namensrecht mit dem eindeutig älteren Projekt desselben Namens (https://www.freebasic-portal.de/downloads/ides-fuer-freebasic/fbedit-ide-30.html) noch ganz zu schweigen (und auch solche Recherchen gehören dann zu professioneller Arbeit), auch wenn man den Domain-Namen reserviert hat für die gTLDs de und com. Aber vielleicht gab es ja sogar tatsächlich eine Anfrage beim Autoren (https://sourceforge.net/u/ketilo/profile/) - das will ich nicht mal ausschließen - zumal das nicht das größte Problem wäre in meinen Augen, welches diese Site hat.

Just my 2 cents ...

... und ich bleibe dann (bei entsprechenden Umständen, denn ich selbst benutze dann halt auch lieber meine eigene Implementierung) bei der Empfehlung aus meinem ersten Satz. Diese Sicherungsdateien haben jedenfalls nichts auf einem fremden Server zu suchen (nicht mal temporär) und erst recht nicht i.V.m. irgendwelchen Credentials und der Notwendigkeit, dafür ggf. erst noch den externen Zugriff auf das GUI überhaupt freizuschalten - auch wenn das für AVM-Apps vielleicht schon geschehen ist.

EDIT: Es könnte natürlich doch noch sein, daß die Seite Cookies verwendet, wenn man sich auf einen Download der Daten von der eigenen FRITZ!Box einläßt - so weit würde ich eben nie gehen. Aber auch dann dürfte diese Einwilligung heutzutage nicht mehr ausreichend sein - die gestaffelten Infos zur Verwendung der damit verwalteten Daten (die kennt inzwischen sicherlich jeder von anderen Webseiten, der nicht immer auf "alles erlauben" klickt, zur Genüge) fehlen weiterhin.

 

[erik]

Man muß der Seite ja nicht den Zugriff auf die Box erlauben, man lädt die exportierte und bearbeitete Konfig hoch und erhält den Prüfcode, den man dann selber in die Datei einträgt.
Zugangsdaten kann man vor dem Export in der Fritzbox ändern und hinterher wieder anpassen, wenn man der Seite nicht vertraut.
Warum aber beim Fritzbox-Editor nicht die höchste Versionsnummer aktuell ist, sondern die 0.6.xxx, ist nicht nachvollziehbar.

 

[PeterPawn]

Man muß der Seite ja nicht den Zugriff auf die Box erlauben, man lädt die exportierte und bearbeitete Konfig hoch und erhält den Prüfcode, den man dann selber in die Datei einträgt.

Was hält Dich denn davon ab, das auch direkt mit der Seite vom Engelke zu machen? Einfach die URL https://www.mengelke.de/Projekte/FritzBox-JSTool.html aufrufen und das läuft lokal in Deinem eigenen Browser. Dann braucht das GAR KEINE Änderung an irgendwelchen Credentials der Box und auch keinen Upload einer Sicherungsdatei.

Ich bezweifle auch, das der "durchschnittliche" Benutzer sich der eklatanten Unterschiede hinsichtlich seiner eigenen(!) Sicherheit bewußt ist und den Unterschied erkennen kann, wenn er einfach nur auf einen Link auf dieses Angebot klickt.

Schon ein "weak password" beim Export (wo AVM ja mittlerweile vermeintlich(!) auf einer mittleren "Güte" besteht, aber das ist alles nur JS-Code und beim direkten Aufruf geht das (vermutlich auch heute noch) auch weiterhin mit "schwachen" Kennwörtern - ich kann mich jedenfalls an einen Thread hier erinnern, wo ich das mit den Developer-Tools eines Browsers mal gezeigt habe), ermöglicht es ggf. dem "Empfänger" einer Sicherungsdatei, die dann doch zu entschlüsseln. Das "Kennwort" ist letztlich nur der MD5-Hash über die vom Benutzer eingegebene Zeichenkette und auch wenn dieser Hash dann als Kennwort für eine AES-128-Verschlüsselung verwendet wird, sind damit dennoch Brute-Force-Angriffe auf den Inhalt so einer Sicherungsdatei möglich und Tools für solche Attacken gibt es auch genug.

Zwar kann man mit einem ausreichend langen und eben NICHT in einem Wörterbuch vorhandenen Kennwort (und das meint nicht den Duden, denn auch "123456" steht nicht da drin, dennoch in jedem Wörterbuch für solche Attacken) da noch einigermaßen gegensteuern, aber das setzt eben auch einen "informierten Benutzer" voraus.

EDIT: Ich habe das gerade mal bei einer 07.29 getestet (7490, die liegt hier gerade herum) ... da war sogar ein "1234" als Kennwort für den Export ausreichend, wobei 2FA aktiv war (falls das einen Unterschied macht). DAS ist dann natürlich das Gegenteil von "sicher" ... hoffen wir mal, daß wenigstens diejenigen, die ihre Sicherungsdateien (wofür auch immer) auf diese Seite hochladen, selbst dann halbwegs sinnvolle Kennwörter verwenden, wenn die AVM-Firmware das nicht erzwingt.

---

Und ganz ehrlich ... als ich beim Veröffentlichen der Infos, wie die AVM-Verschlüsselung arbeitet, auch die Behauptung aufgestellt habe, dadurch würde die Sicherheit der Daten der FRITZ!Box-Besitzer NICHT zusätzlich verringert, hatte ich eigentlich nicht den Fall im Auge, daß jemand FREIWILLIG seine eigenen Daten aus der Hand geben und sie auf eine fremde Webseite hochladen würde ... zumindest hätte ich noch erwartet, daß solche Sicherungsdateien nur aus geknackten Postfächern bei irgendeinem Mail-Provider stammen würden.

Aber was soll's ... ich habe lange genug davor ja gezögert (https://www.ip-phone-forum.de/threads/sinn-und-unsinn-der-avm-verschlüsselung-allcfgconv-webdavcfginfo-usw.278475/) und mich dann doch - in Abwägung der Vor- und Nachteile - dazu entschlossen, das aufzuschreiben. Nun muß ich auch damit leben, wenn mit den Informationen Unsinn angestellt wird (in meinen Augen jedenfalls) ... beim nächsten Mal werde ich mir das dann NOCH gründlicher überlegen, was man an gewonnenen Erkenntnissen teilt und was nicht.

 

[henry90]

Jetzt hab ich doch als "durchschnittlicher" Benutzer einen gehörigen Schrecken bekommen. Mir war zwar durchaus mulmig, als ich meine Telefon-Passwörter ins www schickte. Habe mir deshalb den FBEditor-0.6.9.7k angeschaut, mit dem es ja laut KunterBunter klappen soll und, was soll ich sagen, es klappt mit dieser Version.

Keine Daten ins Internet mit FBEditor-0.6.9.7k !!!

 

[erik]

Was hält Dich denn davon ab, das auch direkt mit der Seite vom Engelke zu machen?

Davon hielt mich ab, dass ich die Seite nicht kannte.

 

[koyaanisqatsi]

FritzBox-JSTool Offline/LAN Crashkurs

1. Speichern ( Rechte Maustaste: Link speichern unter...)
^-->
( Dann LAN Kabel eventuell abziehen um "sicher" zu gehen/sein )

2. Öffnen als Datei oder im lokalen Webserver (zum Beispiel von KNOPPIX 8.6 USB 3.0 UEFI gebootet )
^--> Ich kann Beides auch mit gleichzeitig gezogenen LAN Kabel und natürlich ohne WLAN
( Cookies hab ich keine gefunden )
Den Rest selber rausfinden, ick will da keene Spaßbremse sein

Ach ja, wie jeder tapfere Programmierer freut sich der Michael über Feedback/Rückmeldungen*, besonders von Besitzern von FRITZ!Box Modellen, die Er selber nicht testen kann.
( Besonders die Teuren )
Kann direkt auf seiner Website erfolgen
...was ich mit meinen Modellen natürlich auch gemacht habe.

* Von "funktioniert super mit..." bis "Aber mit Modell XYZ klappt das nicht"
( Vorher mindestens die Fritz!Box JSTool Seite ganz durchlesen )

Ach, herjehmine, guck an.
Bei den ( @PeterPawn ) Kollegen kannste dich dann auch bedanken.

 

[PeterPawn]

Bei den ( @PeterPawn ) Kollegen kannste dich dann auch bedanken.

???

Verstehe ich gerade nicht so richtig ... was genau meinst Du, bei wem ich mich bedanken soll?

EDIT:
Und Deine Anleitung ist viel zu kompliziert ... es geht ja nicht um Paranoia, sondern um die praktikable Nutzung und solange man nicht selbst in den JS-Code schauen will (was auch nicht einfach ist, denn das ist "obfuscated"), braucht man den auch nicht lokal abzuspeichern, bevor man ihn verwendet.

Wenn man das so macht, wie Du es beschreibst, ist es auch nicht mehr "einfacher", als bei der Webseite ... dann hätte die u.U. ja auch wieder eine Berechtigung. Aber solange man die URL oben direkt aufruft, wird auch nur eine HTML-Seite geladen (ohne großes Chichi mit CSS oder ähnlichem), die genau den notwendigen JS-Code "embedded" hat und ihre Arbeit dann lokal im Browser (also ohne weitere Roundtrips zum Server) erledigt.

Das mag auf den ersten Blick für Laien auch nicht wirklich anders aussehen, als bei der anderen Webseite (ich vermeide bewußt Links und auch (weitere) Erwähnungen des Domain-Namens, damit die Reputation dieser Seite dann nicht durch Cross-Links doch noch steigt) ... nur ist es eben bei der Technik, die dahinter liegt, etwas komplett anderes. Die Funktionen sind auch keine anderen auf der Webseite, denn die nutzt ja nach eigenen Angaben dieselbe Implementierung bzw. vermutlich eher die PHP-Version, die dann bei denen auf dem Server arbeitet.

Nur ist es eben so, daß bei der Verwendung der von mir verlinkten Seite - und hier wiederhole ich den Link dann auch noch einmal absichtlich: https://www.mengelke.de/Projekte/FritzBox-JSTool.html - die Sicherungsdatei den eigenen PC gar nicht verläßt und damit auch keinem Fremden "anvertraut" werden muß.

Und angesichts der genauso simplen Anwendung dieser URL ist es ja umso unverständlicher, warum jemand damit eine eigene Webseite bauen sollte/wollte/mußte, auf der FRITZ!Box-Besitzer nun ihre Prüfsummen neu berechnen lassen können - von den anderen dort angebotenen Funktionen wollen wir gar nicht erst reden, deren Einsatz verbietet sich von selbst. Ich gebe ja auch nicht einem Fremden meine EC-Karte samt PIN, weil der gerade näher am Geldautomaten steht und für mich mal etwas abheben soll.

 

[Micha0815]

sondern die 0.6.xxx, ist nicht nachvollziehbar

Das ärgert mich auch schon ewig und wenn die Cracks wie z.B. Kunterbunter die Einsteiger ewig vor die Wand laufen lassen, obschon sie etliche postings vorher erkennen, dass der TE nicht die richtige Version verwendet.
Achja! Ist ja stets so labend, sich hinter dem Argument der "Hilfe zur Selbsthilfe" zu verstecken!

 

[koyaanisqatsi]

@PeterPawn - DU doch nicht, hm, hab ich wohl wieder vergeigt. Ich dachte nach "den" wäre klar, dass DU der Adressat der Bedankung bist.
Ich streich den und Kollegen mal durch. Was Besseres fällt mir gerade nicht ein.
...oder haste nicht mitgekriegt, dass DU in den "Danksagungen" auftauchst?

 

[PeterPawn]

@koyaanisqatsi

Dann habe ich das wohl falsch verstanden ... paßt schon.

 

[sonyKatze]

wenn die Cracks wie z.B. Kunterbunter die Einsteiger ewig vor die Wand laufen lassen

Dazu haben wir intern einen Thread …

@henry90 irgendwie habe ich den Faden verloren. Aus reiner Neugierde: Wozu musst Du (in Deinem Fall) über eine bearbeitete exportierte Sicherung gehen: Reicht die Web-Oberfläche doch nicht? Oder war das lediglich ein Seiten-Thema, ein Exkurs, wie bzw. welchen Tools die Check-Summe für FRITZ!OS 7.2x und neuer berechnet werden kann, weil Du neugierig geworden bist?