Die Struktur von Freetz ist nicht transparent genug mit anderer OpenSource verglichen

[Vizva]

Man kann sich die Quellen irgendwo ansehen mit vagen Erklärungen dazu, die manchmal nicht länger sind als zwei Wörter.Aber andere traditionelle(länger etablierte)Quellen machen das anders.
Nehmen wir einmal BSD oder Linux.Bevor man sie installiert kann man sich die den Code anschauen.
Was der Code macht etc.Sobald Freetz in der Box ist, sieht man nichts mehr.
Bei der Original-Software ist das auch so.Aber da steht ein Unternehmen dahinter, das haftungspflichtig ist und das man verklagen kann bspw.
Auch das Image welches den Kernel und das Filesystem beinhaltet entspricht keiner einfachen bekannten Struktur, wenn man ein Neuling für Freetz ist.

Nehme ich nocheinmal Tor als Beispiel, weiß ich immer noch nicht was für ein Tor benutzt wird für das Package.Und wann wird er aktualisert?
Das sicherheitsrelevante Software oftmals ein Ziel von Angriffen ist und Manipulationen versucht werden, so etwas habe ich noch nicht lesen können bei Freetz.Sicherheits-Patches ist ein unbekanntes Wort bei der großen Suppe.

Viele Köche kochen an dem Brei.Das mag gut und interessant sein für einen Entwickler.Aber für eine Privatperson, sollte man sich gut überlegen Code in seinen Router zu laden, zu dessen Überprüfung nicht expliziter eingegangen wird und wo Downloads nicht mit keys oder hashes gesichert sind.
Da hätte man viel zu tun.Freetz installieren, konfigurieren, ein Image erstellen.Lernen es auf die FritzBox zu übertragen.Und dann noch alles zusammenzusuchen um den Code zu überprüfen.Ein Fulltime-Job.Man sollte sich überlegen ob dieses Geprimmel sicherheitstechnisch ausgereift ist.

Nun ich hätte es anders schreiben können aber wie PeterPan ja gesagt hat.Gehätschelt wird hier nicht in der Wohlfühlbude Freetz.

Nun bitte ich um Tutorials wie man den Code überprüfen kann oder gibt es die schon.Dann sollten die an der ersten Stelle stehen bei den vielen Köchen.
Freetz könnte größer werden in der Zukunft und es könnte seine Sicherheitsarchitektur(wenn es so etwas gibt) überarbeiten.Das der Hersteller sich von Freetz distanziert und seine eigene Firmware auf der Routern sehen will, ist damit logisch bei soviel Chaos auch wenn es einigen wohl viel Spass macht.

 

[meiser79]

Was willst Du uns mit Deinem Beitrag mitteilen? Kannst Du die Kernbotschaft vielleicht in 1-2 Sätzen formulieren?

 

[achsoistdas]

Was willst Du uns mit Deinem Beitrag mitteilen? Kannst Du die Kernbotschaft vielleicht in 1-2 Sätzen formulieren?

Nun bitte ich um Tutorials wie man den Code überprüfen kann oder gibt es die schon.Dann sollten die an der ersten Stelle stehen bei den vielen Köchen.

Steht da doch

 

[qwertz.asdfgh]

Nehme ich nocheinmal Tor als Beispiel, weiß ich immer noch nicht was für ein Tor benutzt wird für das Package.

http://freetz.org/browser/trunk/make/tor/tor.mk

Also: https://www.torproject.org/dist/tor-0.3.0.10.tar.gz

Und wann wird er aktualisert?

http://freetz.org/changeset/14371
und/oder
http://freetz.org/log/

... und wo Downloads nicht mit keys oder hashes gesichert sind.

Besipiel Tor (tor.mk):

$(PKG)_SOURCE_SHA256:=9a8e6e49a1688dae64dca10f84a414ec9a4f393fb2256ae28e0c2e3239185ab1

Da hätte man viel zu tun.

So wie es derzeit aussieht wäre dann wohl ein Fork von Freetz anzuraten, ich bin schon gespannt (positiv)...

Das der Hersteller sich von Freetz distanziert ...

Das wäre mir neu.

AVM ist offen für eine aktive Beteiligung der FRITZ!Box-Nutzer an der Produktentwicklung und auch deren Eigenentwicklungen (z.B. freetz) und unterstützt solche Ansätze auf vielfältigen Wegen, beispielsweise durch das FRITZ! Labor, ausführlichen Schnittstellenbeschreibungen und zeitnaher Veröffentlichung der aktuellen GPL-Pakete zu jedem FRITZ!OS. Auch das Einspielen von selbst erstellter Firmware wurde und wird nicht blockiert, wenn der Nutzer das wirklich möchte.

Quelle:
https://avm.de/service/fritzbox/fri...FRITZ-Box-per-Telnet-wird-nicht-unterstuetzt/

 

[Vizva]

Ja danke an alle Antworten bisher.Die neue Firmware erlaubt keine Änderungen mehr per DateiUpload ohne Zertifizierung.Das könnte man als Distanzierung sehen.Immerhin muß dann 6.30 genommen werden.Das ist ein Rückschritt, wenn man Code auch als zeitlich ablaufbar sieht, was Sicherheit angeht.
Auch gefällt mir die Struktur nicht wo alles Code abgelegt wird bei Freetz.Eine zentrale Stelle wie ein ftp server, das wäre schon eine Möglichkeit.Wie wir es bei allen anderen OpenSources sehen.

Andere Frage In welchem Format liegen der Kern und das Filesystem vor bevor es auf die Box geschrieben wird? Ist das Binärcode?

 

[MuP]

Zitat AVM
"AVM ist offen für eine aktive Beteiligung der FRITZ!Box-Nutzer an der Produktentwicklung und auch deren Eigenentwicklungen (z.B. freetz) und unterstützt solche Ansätze auf vielfältigen Wegen, beispielsweise durch das FRITZ! Labor, ausführlichen Schnittstellenbeschreibungen und zeitnaher Veröffentlichung der aktuellen GPL-Pakete zu jedem FRITZ!OS.
Auch das Einspielen von selbst erstellter Firmware wurde und wird nicht blockiert, wenn der Nutzer das wirklich möchte."

 

[Vizva]

So wie es derzeit aussieht wäre dann wohl ein Fork von Freetz anzuraten, ich bin schon gespannt (positiv)...

Da würde ich mir nicht nur einen Fork von Freetz wünschen, wenn die AVM Quellen nicht mehr mitziehen.

EDIT Oder es auch erschwert wird, was Code angeht, aktuell zu bleiben.

 

[PeterPawn]

Ehe die Diskussion wieder von vorne beginnt und sich erneut einige vollkommen unnötigen Aufwand einhandeln ... es ist absolut nicht notwendig, irgendeine uralte Firmware zu verwenden, nur damit man dann irgendwann mal ein eigenes Image (ob Freetz oder was auch immer) auf die Box bekommt (und natürlich ist es erst recht nicht notwendig, mit einer alten AVM-Version als Ausgangsbasis für sein aktuelles Freetz-Image zu leben).

Von den Änderungen durch AVM seit 2014 ist bisher ausschließlich die Installation über das AVM-GUI betroffen und über den Bootloader kann (meines Wissens, gegenteilige (belegbare) Erfahrungen nehme ich gerne zur Kenntnis) immer noch beliebige Firmware installiert werden.

Integriert man dann in dieses erste eigene Image auch noch den passenden öffentlichen Schlüssel, kann man im Anschluß sogar wählen, ob man lieber ein eigenes, selbst signiertes Image über das GUI installieren will oder bei der Benutzung des Bootloaders bleiben will. Letzteres erfordert halt immer die Anwesenheit vor Ort (sofern man nicht besondere Hardware-Vorkehrungen trifft), während man (nach dem ersten eigenen Image) über das GUI auch selbst-signierte Images aus der Ferne installieren kann.

Zwar braucht man für beide Wege leicht unterschiedliche Ausgangsdateien, aber aus einem signierten Image kann man problemlos (siehe hier für NAND-Modelle) auch ein Image für die Verwendung mit dem Bootloader erstellen (das gilt für NOR- und NAND-Boxen, auch wenn das "Flashen" jeweils anders abläuft) ... wobei das von "fwmod" bereits übernommen wird, wenn dort eine "...image.in-memory" erzeugt wird; was offensichtlich auch nur von FREETZ_AVM_HAS_SEPARATE_FILESYSTEM_IMAGE abhängig ist und somit für praktisch jede "Nicht-NOR-Box" automatisch geschieht.

Ich verstehe ja noch, wenn sich das Gerücht mit der Notwendigkeit des Downgrades bei "alten Hasen" in Bezug auf Freetz etwas hartnäckiger hält ... die machen das dann halt so, wie sie es schon immer gemacht haben (wobei die eigentlich mit einer vorhergehenden Freetz-Installation auch keine Probleme mit nicht-signierter Firmware haben dürften).

Aber bei "Einsteigern" würde ich von einer (intensiven) Suche nach dem richtigen Weg ausgehen und in den letzten drei Jahren (erst da haben sich die NAND-Modelle ja durchgesetzt mit dem etwas anderen Vorgehen im EVA-FTP-Server) wurden nun auch genug Beiträge in Threads zu diesem Thema geschrieben ... da sollte sich (wenn man nicht gleich beim ersten hängen bleibt, der vielleicht noch falsche oder zumindest veraltete Annahmen enthält) auch einer finden lassen, der den nunmehr erforderlichen Weg beschreibt.

TL;DR:
Ein Downgrade ist vor der Installation einer eigenen Firmware (egal ob mit der Freetz-Toolchain oder irgendwie anders erstellt) absolut unnötig. Die Installation des ersten eigenen Images kann/muß über den Bootloader erfolgen und im Anschluß kann man (so man entsprechende Vorkehrungen getroffen hat) genauso wie bisher das GUI verwenden.

 

[qwertz.asdfgh]

Die neue Firmware erlaubt keine Änderungen mehr per DateiUpload ohne Zertifizierung.Das könnte man als Distanzierung sehen.

Das sehe ich definitiv anders, aus meiner Sicht deutet das eher auf eine (anscheinend nicht zum ersten mal) schlampige Recherche deinerseits hin.

Die Gründe dafür, dass nur noch korrekt signierte Firmware-Images über das WebIf zugelassen werden und auch keine Downgrades mehr per WebIf (sowie die Abschaffung von Telnet) haben primär sicherheitstechnische Gründe. Selbst wenn der Hersteller weiterhin alternative Firmware offiziell unterstützen möchte so waren diese Schritte m.E. notwendig (ein Angreifer könnte z.B. auch mit einer korrekt signierten älteren Firmware wieder auf eine Version downgraden über diese noch eine manipulierte Firmware eingespielt werden könnte, daher nun auch kein Downgrade mehr über das WebIf) und eigentlich sind noch mehr Schritte notwendig (s.h. z.B. der Bootloader-Zugriff mit Standard-Zugangsdaten)...
Als das stellt aber eben noch keine Distanzierung von alternativen Firmwareprojekten dar sondern erhöht lediglich die Sicherheit des Produktes. Ich hatte an anderer Stelle z.B. schon einmal den Vorschlag gemacht den Bootloader mit individuellen Zugangsdaten abzusichern (ob sinnvoll oder nicht, bei neuen Boxen könnte dazu z.B. das auf dem Typenschild aufgedruckte Standard WebIf-Passwort dienen), aber auch das wäre noch keine Distanzierung von solchen Projekten denn damit wäre weiterhin das aufspielen eigener (unsignierter) Firmware-Images über den Bootloader möglich.

Meiner Ansicht nach hat AVM tw. auch "nur" auf das "Testkonzept für Breitband-Router" des BSI reagiert (s.h. z.B. Pkt. 3.1.2, AVM ist bei diesem Pkt. zur Sicherheit nachvollziehbar noch einen Schritt weitergegangen) und eben nicht um sich von entsprechenden Firmware-Projekten zu distanzieren, das ist m.E. einfache nur eine falsche Interpretation der Tatsachen.

 

[qwertz.asdfgh]

Zitat AVM

Wolltest du auf was bestimmtest hinaus oder weshalb die Wiederholung?

 

[Vizva]

Das sehe ich definitiv anders, aus meiner Sicht deutet das eher auf eine (anscheinend nicht zum ersten mal) schlampige Recherche deinerseits hin.

Das ist eine Meinung was du hast.Was das mit Recherche zu tun haben soll kannst du nicht erklären, weil du nur auf Krawall mir gegenüber gebürstet bist.
Wenn einer schlampig ist dann bist du das, denn eine Meinung mit Recherche zu vermischen zeigt, das die Sätze die du schreibst zwar irgendwo einen Punkt haben wo Wahrheit zu finden ist aber irgendwie nicht wirklich eine Wahrheit sind, wenn sie alleine da stehen.
Generalisierung bis zum abwinken, nur damit man aussieht als wisse man etwas.

 

[HarryHase]

Wenn wir jetzt mal den Krawall bei Seite legen sehe ich eine Fragestellung im ersten posting:

Nun bitte ich um Tutorials wie man den Code überprüfen kann oder gibt es die schon.Dann sollten die an der ersten Stelle stehen bei den vielen Köchen

Ich bin ein Koch und nutze viel Küchen, das hat schon früh mit einem XDA Handheld angefangen. Ganz ehrlich; Ich bin froh dass es diese Küchen wie freetz gibt und ich mir ein Image Kochen kann, den source-code prüfe ich aber nicht.

Wenn Du den Begriff Koch als Synonym für die Programmierer verwendest, alsi die den source-code pflegen und weiter entwickeln, dann wissen diejenigen schon wie sie ihren und fremden Code zu lesen haben.
Bis auf closed-source Bibliotheken liegt alles in meinem freetz Verzeichnis und ist lesbar. Wenn mich was interessieren würde wüsste ich wo ich zu Suchen anzufangen habe.

Zu den von Dir angesprochenen addons (ganz allgemein nicht mal TOR) habe ich eh ein gespaltenes Verhältnis, da gibt es 3 Nutzertypen,
1) die es nie nutzen (ich)
2) die die nehmen und vergessen
3) die es wirklich interessiert, aber auch dann wissen Diese wie sie sich den code anschauen können, denn sonst würden sie ihn nicht benutzen.

Wenn ich meine Sprache gebrauche suchst Du einen Weg das Kochrezept und die Zutaten zu überprüfen; Viel Spaß, wie viele Jahre soll das dauern? Fang mal in der config/Config.in an, Anschließend gelangt man zu weiteren config Dateien, nach meiner Erkenntnis hat man am Ende dann alle möglichen Kombinationen des nackten freetz zusammen die anschließend zusammengekocht werden. Das Ergnis kommt dann in die Datei config

 

[qwertz.asdfgh]

Was das mit Recherche zu tun haben soll kannst du nicht erklären,

Das wurde (u.a.) bereits in Beitrag #8 abgehandelt, warum soll ich das noch einmal wiederholt erläutern?

weil du nur auf Krawall mir gegenüber gebürstet bist.

Das wäre dann eine weitere Fehleinschätzung deinerseits (kommt aber auch nicht wirklich überraschend). In Beitrag #1 hattest du noch selbst erwähnt: "Gehätschelt wird hier nicht", da fragt man sich schon, wie eine solche Reaktion deinerseits dennoch zustande kommt...

[...] Generalisierung bis zum abwinken, nur damit man aussieht als wisse man etwas.

Hm, also das mit dem kontern ging m.E. in die Hose, da besteht deinerseits wohl ebenfalls Nachholbedarf...

 

[er13]

Folgende Bitte an den Thread-Ersteller. Definiere mal bitte Freetz.

Wenn Du in #1 von "Freetz" sprichst, so meinst Du Freetz, welches Du selbst mittels eines Quellcode-Verwaltungssystems ausgecheckt hast (subversion von http://svn.freetz.org/... oder git von https://github.com/Freetz/freetz.git), mittels "make menuconfig" konfiguriert hast, gebaut hast und anschließend auf die Box geflasht hast.

Oder sprichst Du eventuell von irgendwelchen Seiten, die leider häufig unter dem Namen Freetz irgendwelche fertigen von irgendjemandem gebauten Images mit irgendwelchen darin enthaltenen Paketen zum Download anbieten (die Adresse einer mir bekannten Seite fängt mit freetzhome an, enthält im 2.ten Teil eine geometrische Figur und befindet sich in einem mehrsprachigen Alpenland).

 

[Vizva]

Hm, also das mit dem kontern ging m.E. in die Hose, da besteht deinerseits wohl ebenfalls Nachholbedarf...

Es ist wirklich schade, im Internet immer auf Leute zu treffen die sich im Schutze der Anonymität so benehmen wie du.Schlaue Leute konzentrieren sich auf die Tatsachen sparen sich die Zeit, andere mit ihren Sprüchen nerven zu wollen, die zeigen ,das ihnen der Kern der Wahrheit nicht gefällt, sie aber keine andere Möglichkeit haben ihren Ärger auszudrücken.Denn es fehlt ihnen an Argumenten, das so zu stoppen was ihnen an den anderen nicht gefällt.Es kostet nur Zeit auch denen noch zu beizubringen, was sie im Leben nicht lernen konnten.Klar das dies nicht klappt.Verplemper weiter deine und unsere Zeit, wobei die Sache um die es sich dreht in den Hintergrund rückt.

 

[Vizva]

Folgende Bitte an den Thread-Ersteller. Definiere mal bitte Freetz.

Wenn Du in #1 von "Freetz" sprichst, so meinst Du Freetz, welches Du selbst mittels eines Quellcode-Verwaltungssystems ausgecheckt hast (subversion von http://svn.freetz.org/... oder git von https://github.com/Freetz/freetz.git), mittels "make menuconfig" konfiguriert hast, gebaut hast und anschließend auf die Box geflasht hast.

Oder sprichst Du eventuell von irgendwelchen Seiten, die leider häufig unter dem Namen Freetz irgendwelche fertigen von irgendjemandem gebauten Images mit irgendwelchen darin enthaltenen Paketen zum Download anbieten (die Adresse einer mir bekannten Seite fängt mit freetzhome an, enthält im 2.ten Teil eine geometrische Figur und befindet sich in einem mehrsprachigen Alpenland).

Die Seiten kenne ich nicht.Mir ging es nur darum auszudrücken was mir nicht gefällt.Sollte ich da falsch liegen sollte mir auch wohl jemand widersprechen.Mir hat das Posting in diesem Thread von PeterPawn gefallen.Viele Fragen haben sich nach dessen lesen aufgelöst.

 

[Vizva]

Wenn wir jetzt mal den Krawall bei Seite legen sehe ich eine Fragestellung im ersten posting:


Ich bin ein Koch und nutze viel Küchen, das hat schon früh mit einem XDA Handheld angefangen. Ganz ehrlich; Ich bin froh dass es diese Küchen wie freetz gibt und ich mir ein Image Kochen kann, den source-code prüfe ich aber nicht.

Wenn Du den Begriff Koch als Synonym für die Programmierer verwendest, alsi die den source-code pflegen und weiter entwickeln, dann wissen diejenigen schon wie sie ihren und fremden Code zu lesen haben.
Bis auf closed-source Bibliotheken liegt alles in meinem freetz Verzeichnis und ist lesbar. Wenn mich was interessieren würde wüsste ich wo ich zu Suchen anzufangen habe.

Zu den von Dir angesprochenen addons (ganz allgemein nicht mal TOR) habe ich eh ein gespaltenes Verhältnis, da gibt es 3 Nutzertypen,
1) die es nie nutzen (ich)
2) die die nehmen und vergessen
3) die es wirklich interessiert, aber auch dann wissen Diese wie sie sich den code anschauen können, denn sonst würden sie ihn nicht benutzen.

Wenn ich meine Sprache gebrauche suchst Du einen Weg das Kochrezept und die Zutaten zu überprüfen; Viel Spaß, wie viele Jahre soll das dauern? Fang mal in der config/Config.in an, Anschließend gelangt man zu weiteren config Dateien, nach meiner Erkenntnis hat man am Ende dann alle möglichen Kombinationen des nackten freetz zusammen die anschließend zusammengekocht werden. Das Ergnis kommt dann in die Datei config

Es ist so das wenn die Box läuft und man gar nicht mehr sieht was da drin steht ein ungutes Gefühl erzeugt wird.Bei mir ist das so.Bei anderen könnte es anders sein.Man muss die Möglichkeit haben zu prüfen.Und verschiedene Leute sollten auch mal den Code lesen den andere da eingebracht haben.Wenn sie das tun, gut.

Man hat immer ein Risiko wenn man fremden Code benutzt, das stimmt ja.Wenn ich nun solch eine Anfrage stelle, ist das ein Zeichen, das mir die geschlossene Box nicht gefällt mit den vielen Leuten die daran arbeiten, ohne mir Gedanken darüber zu machen wie ich aufhellen könnte was darin vor sich geht oder nicht.

Bei Microsoft z.B. hat man das auch so.Man muß diesen Codern vertrauen.Bei Linux und BSD sieht es besser aus.Jeder kann den Code des anderen lesen.Das ist beruhigend.

Vielleicht bin ich auch nur zu paranoid, was ich allerdings als positive Eigenschaft an mir schätze.Das Maß zählt.

 

[Vizva]

Die Freetz Seite war down als ich mir sie angesehen habe, vor einigen Tagen.Nun ist sie wieder da.Ich dachte das hier irgndetwas eingestellt wird oder so ähnlich.Irgendwo schrieb jemand Freetz ist tot.Mein Router war nur im Trunk.Jemand meinte den Trunk sollte man nicht benutzen.
Es kommt eins zum anderen.Nun sehe ich die Seite https://freetz.org/ und stelle fest, das alles was man wissen muß verlinkt ist.Also löst sich das Chaos, das sich mir zeigte, mit den Seiten , die sich überall sonst noch verteilen, auf.
Immerhin schon etwas auf mich bezogen.

 

[stoney]

Irgendwo war/ist hier und sollte sich imho auf den (Web)Server von freetz.org beziehen anstatt auf das ganze Projekt

 

[qwertz.asdfgh]

Es ist wirklich schade, im Internet immer auf Leute zu treffen die sich im Schutze der Anonymität so benehmen wie du.

Viel mehr finde ich Schade, dass es Leute wie dich gibt die offensichtlich mit Kritik nicht umgehen können und dann darauf so reagieren. Ich sehe/erkenne jedenfalls nicht, weshalb mein Benehmen hier in irgendeiner Weise nicht in Ordnung gewesen sein sollte (sodass dieses z.B. Anonymität benötigen würde oder gar solche Reaktionen deinerseits begründet). Ich wüsste nicht, dass ich im (nicht anonymen) echten Leben anders reagiert hätte. Auf den weiteren Text deinerseits brauche ich meines Erachtens nicht weiter eingehen, das fällt m.E. ganz von alleine zusammen (ohne dass es dazu weitere Hilfe meinerseits benötigen würde).