[Sammlung] FB 7490, Bugs und Verbesserungsvorschläge

Tom01

Neuer User
Mitglied seit
19 Jul 2010
Beiträge
131
Punkte für Reaktionen
2
Punkte
18
So, ich erstelle jetzt mal ein öffenliche Liste von:

- Bugs
- Verbesserungsvorschlägen

für die Fritzbox 7490.

Bitte bei Nennung von Bugs und Verbesserungsvorschläkgen immer folgendes benennen:

#################################################
# Kategorie: ( Bug, Verbesserungsvorschlag oder Produktvorschlag) #
# Name des Gerätes: (z.B. FB 7490) #
# Firmwareversion: (z.B. 06.35xx Beta ) #
#################################################
# Beschreibung des Problems: #
#################################################

Was soll diese Liste bewirken? :
- Die Schaffung von Öffentlichkeit soll AVM motivieren sich verstärkt mit den gefundenen Fehlern als auch den Verbesserungsvorschlägen zeitnah auseinander zu setzen.

Was können wir tun?
- Bugs und Verbesserungsvorschläge hier und bei AVM melden (auf AVM Webseite per Feedback-Formular)
- Leser die selber keine Bugs finden oder Verbesserungsvorschläge haben können die Punkte die ihnen wichtig sind sich hier heraus kopieren und diese AVM per Email oder per Feedback Meldeformular an AVM weiter leiten.

AVM Feedback Formular:
http://avm.de/fritz-labor/labor-fuer-fritzbox-7490/ihr-feedback/

AVM Formular für Produktanregungen:
https://avm.de/kontakt/anregungen-zu-fritz-produkten/

AVM Formular für Kontakt mit Support:
http://avm.de/service/supportanfrage/produktauswahl/knowlegdebasesupport/list/?language=de&product=FRITZ-Box-7490&dbpage=1&category=&cHash=101e758f1b9ba08a24424783c05d99e9
 
Zuletzt bearbeitet:
Bugmeldung
FB 7490
FW: 06.35xx Beta

Wenn man bei oben benannter FB zwei eigene (andere) DNS Server benennt ignoriert die FB diese Angabe und verwendet den DNS Server des Providers.

Bug bereits vor FW 06.35xx Beta an AVM gemeldet. Bug wiederholt am 06.07.2015 an AVM per Webinterface gemeldet.
 
Zuletzt bearbeitet:
Ihr solltet mal Software und Hardware unterscheiden
Für Labor-Software gibt es die Labor-Threads, für Verbesserungsvorschläge gibt es auch einen Thread

Die explitze Nennung der 7490 zeigt, dass es um Hardware geht, da fällt mir USB 3.0 - WLAN-Problem ein
 
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

DNSsec durch FB in der Art unterstützen, dass es für die Verwendung von DNSsec nicht auf jedem PC einen installierten eigenen DNSsec Client bedarf.

Begründung: Die Unterstützung von DNSsec durch die FB macht den Inhalt des FB eigenen Caching-DNS Proxy weniger manipulierbar.

Verbesserungsvorschlag per Webformular am 06.07.2015 an AVM mitgeteilt.
 
Zuletzt bearbeitet:
Dieser Thread wird immer komischer

Wozu brauch man dazu die FritzOS-Version angeben, wenn das Feature noch nicht drin ist?
 
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

Man kann keine, das BPMJ Modul übergehende Ausnahmen, definieren.

Da das BPMJ Modul teilweise unkritische Webseiten sperrt, kann man das BPMJ Modul ohne eine entsprechend definierbare Ausnahmeliste leider nicht wirklich verwenden.

Verbesserungsvorschlag per Webformular bereits mehrfach an AVM mitgeteilt.
 
Zuletzt bearbeitet:
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

Die Blackliste der FB versteht keine Platzhalter (Joker)
Mit Hilfe von diesen könnte man ganz einfach Webseiten sperren die einen bestimmten Begriff im Namen enthalten.

Beispiel: *xxx*.*xxx* (Sperrt alle Webseiten die den Begriff "xxx" an beliebiger Stelle im Namen tragen.

Das ist praktikabler als eine Kilometer lange Black Liste versuchen zu pflegen.
Zumal die zulässige Länge der Blackliste recht beschränkt ist.

Verbesserungsvorschlag bereits Webformular vor dem 06.07.2015 an AVM mitgeteilt.
 
Zuletzt bearbeitet:
DNSsec durch FB anbieten ohne das es einen auf dem Client extra installierten DNSsec Client bedarf.
Begründung: Die Verwendung von DNS sec macht das Internet weniger manipulierbar.
Auf wenn ich das selbst ebenfalls für eine vernünftige Lösung halten würde (aber nur, weil es auch älteren Clients, die man nicht mehr mit DNSSEC-Kenntnissen nachrüsten kann, auch diese zusätzliche Sicherheit bringen könnte), das Argument von AVM an dieser Stelle ist auch nicht vollkommen von der Hand zu weisen: DNSSEC ist eigentlich eine Angelegenheit zwischen dem abfragenden Rechner und dem DNS-Server (bzw. dem SOA der Domain).

Einzig das Argument, daß die FRITZ!Box ja auch ohne DNSSEC als DNS-Server (und Caching-Proxy mit automatischen Forwarding für alle Zonen, für die sie sich als "nicht zuständig" ansieht) tätig ist und ein ständiges "Passthrough" aller DNSSEC-Abfragen unnötigen Traffic verursacht (und unnötige Last beim Validieren von Signaturen), wenn man nur für diesen Aspekt die FRITZ!Box mal als "sicheren Hort" annimmt, wäre m.E. trotzdem Grund genug, auf der FRITZ!Box einen DNSSEC-fähigen DNS-Server/-Proxy anzubieten, der das Überprüfen der Signaturen einer "von außen" gelieferten Antwort seinerseits prüft und solche Antworten (wenn die Domain Signaturen anbietet) nur dann in den Cache aufnimmt, wenn die Antwort authentisch ist.

Das ist aber technisch schon noch etwas komplizierter umzusetzen und bietet (anders als hier vielleicht verstanden werden könnte) auch nur dann einen Schutz vor Manipulationen, wenn diese eben nicht auf dem Client erfolgen, wo am Ende (bei fast allen derzeitigen Angriffen) der vom Client befragte DNS-Server geändert wird ... dagegen hilft eine DNSSEC-Validierung der FRITZ!Box gar nichts. Sie ist kein ALG für DNS-Abfragen (das will sie nach meinem Verständnis auch nicht sein), hier bräuchte es dann einen entsprechenden Outbound-Filter in der FRITZ!Box ... ein Thema, was man ggf. mit der KiSi angehen könnte, aber das hat mit "DNSSEC oder nicht" eigentlich nichts mehr zu tun.

Fazit:
DNSSEC hilft - bei dem o.a. Vorschlag - nur gegen ein "Vergiften" des FRITZ!Box-DNS-Caches (was in einem "vergifteten" Provider-Forwarder seine eigentliche Ursache hätte, die FRITZ!Box macht m.W. keine eigenen Rekursionen für Abfragen) und gegen die derzeit wesentlich häufigere Form der Manipulation des DNS-Servers auf dem Client bringt das mal genau gar nichts. Da hilft dann vielleicht (mit entsprechendem Einrichtungsaufwand verbunden) ein "Profile" in der KiSi, das externe UDP-Pakete mit Port 53 verbietet (die FRITZ!Box wäre dann der einzige Absender, der UDP Port 53 nach außen benutzen darf).

EDIT:
Ok, ich hatte den Eindruck, das könnte eine ernsthafte Veranstaltung hier werden - vielleicht zuviel erwartet?

Ich hätte noch den Vorschlag des "Bier holens" zu erneuern, wobei ich das gerne so geändert sehen würde, daß auch nicht-alkoholische Getränke geordert werden können, da ja auch das "Einstiegsalter" der Kinder bei der Nutzung der "Droge Internet" immer mehr in die "antepartale" Richtung verschoben wird (auch als Erwachsener sollte man die Wahl haben und nicht automatisch zum Bierkonsum "gezwungen" werden, nicht einmal in D).

EDIT2:
Ok, Asche auf mein Haupt ... da trifft man mal auf einen Thread, der einem "aus dem Herzen" sprechen könnte und da macht man solche "Flüchtigkeitsfehler" dann eben. Da der TE schon in seiner Signatur dem Zeitgeschehen um einiges voraus ist (FRITZ!Box 9370) und auch sonst das mehr an ein "ich mache jetzt mal meine eigene Liste, was ich selbst so will" erinnert - mit entsprechend fehlender Sorgfalt beim Formulieren der einzelnen Beiträge, die dann nur noch durch C&P entstehen (Indiz: "Begründung: Die Verwendung von DNS sec macht das Internet weniger manipulierbar" im Beitrag zur BPjM-Liste) - bedauere ich meinen Einwurf hier ausdrücklich (und lasse ihn trotzdem stehen, denn die Einwände gegen die aufgestellte Behauptung haben m.E. ihre Richtigkeit).
 
Zuletzt bearbeitet:
Ich hätte noch den Vorschlag des "Bier holens" zu erneuern, wobei ich das gerne so geändert sehen würde, daß auch nicht-alkoholische Getränke geordert werden können, ...

Dagegen! Mit einer Ausnahme für die KIDZ!Box 1040 wo dies ausnahmslos alkoholfreie Getränke sein sollten... Als abstinenter Erwachsener muss man sich dann eben auch eine 1040 anschaffen.
 
Ich hätte noch den Vorschlag des "Bier holens" zu erneuern...

Was ist eine "Bier holen" Funktion ?
Den Begriff habe ich zwar schon mal in einem Entwicklerforum gelesen. Allerdings ist mir nicht klar was das mit einer FB zu tun hat.
 
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

Die FB unterstützt neben FTPS auch unverschlüsseltes FTP. Das sollte man zum Schutz von unbedarften NUtzern (vor sich selbst) erst gar nicht anbieten.

Verbesserungsvorschlag, bereits Webformular vor dem 06.07.2015 an AVM mitgeteilt.
 
Zuletzt bearbeitet:
@Tom01: Warum fasst du deine stets gleich lautenden Beiträge nicht zu einem einzigen zusammen?
???
Die Beiträge haben alle einen unterschiedlichen Inhalt. Sie beschreiben unterschiedliche Bugs und Verbesserungsvorschläge.
 
Die FB unterstützt neben SFTP auch unverschlüsseltes FTP.
Das Problem ist jedoch, daß die Box gar kein SFTP unterstützt. SFTP ist "secure FTP" auf der Basis eines SSH-Servers (halt ein eingeschränkter Befehlsumfang und keine "richtige" Shell wie beim SSH) und die FRITZ!Box unterstützt in der Stock-Firmware kein SSH.

Selbst wenn man das mal in "FTPS" übersetzt - auch das ist eher wackelig, denn die FRITZ!Box bietet nur FTP mit "TLS AUTH"-Erweiterung, manchmal auch als "explizites FTPS" bezeichnet, weil der Client explizit mit einem Kommando auf TLS-Modus umschalten muß, während es bei implizitem FTPS aus dem benutzten Port hervorgeht - erschließt sich (mir zumindest) die Aussage
Tom01 schrieb:
Zumal das Weglassen von unverschlüsselten FTP zu keine irritierenden Fehlermeldungen führt wie die Verwendung von https (ohne entsprechendes Zertifikat)
nicht wirklich. Was wolltest Du am Ende damit sagen? Daß bei FTPS kein gültiges Zertifikat benötigt wird? Wenn das die Aussage sein soll, ist der verwendete Client einfach nur Schrott - auch beim Umschalten auf TLS-Mode sollte ein FTP-Client das Zertifikat des Servers ordentlich prüfen, sonst kann er sich die Verschlüsselung auch klemmen. Wenn jemand den offenen Verkehr unterwegs abhören könnte, könnte er (mit sehr wenigen Ausnahmen) auch als MITM einen Angriff auf eine solche Verbindung starten und dagegen hilft nur das korrekte Prüfen des Zertifikats (volle Funktionsfähigkeit des TLS-Protokolls an dieser Stelle mal unterstellt). Verschlüsseln um des Verschlüsselns willen ist einfach nur Unfug, das hat AVM mit einem ständig wechselnden Zertifikat für den FTP-Server auch lange genug praktiziert. Solange man sich der Identität der Gegenstelle nicht sicher sein kann, bringt das überhaupt nichts. Was ist denn am Ende durch die Verschlüsselung zu schützen? Beim FTP in Abhängigkeit vom zu verschlüsselnden Kanal zwei Sachen ... im Control-Channel die Credentials für die Anmeldung und alle "Ausgaben" seitens des FTP-Servers wie z.B. Dateinamen und im Daten-Channel die eigentlich zu übertragenden Daten. Solange man sich bei der Eingabe der Credentials nicht bereits davon überzeugt hat, daß am anderen Ende der verschlüsselten Verbindung auch tatsächlich der richtige (weil eigene) FTP-Server hängt, gibt man diese Daten ggf. gerade an den Angreifer weiter (ein Login-Verfahren auf Hash-Basis gibt es meines Wissens bei keinem verbreiteten Server). Für die übertragenen Daten gilt am Ende genau dasselbe ... ein Proxy mit einem "gefaketen" Zertifikat kann die Daten problemlos abgreifen, wenn die Authentizität des Zertifikats nicht geprüft wird (was bei einem "self-signed"-Zertifikat natürgemäß nicht möglich ist, wenn man das Zertifikat nicht bereits vorher auf einem gesonderten Kanal übermittelt bekommt, was wieder bei einem dynamisch generierten - wie AVM es früher praktiziert hat - mit erheblichen Problemen und Unsicherheiten verbunden ist). Jeder im "normalen Weg" der Daten passierte Router kann ein solcher potentieller Proxy für einen Angriff sein, eine ungesicherte Verbindung (und da heißt "gesichert" eben nicht nur "verschlüsselt") läßt sich praktisch an jedem Hop auftrennen in zwei Verbindungen. Nur wenn der "Lauscher" die Daten nur über "Mirroring" erhält (die oben erwähnte Ausnahme), ist der Aufwand etwas größer ... aber noch lange nicht unmöglich, auch da hilft dann ggf. eine Manipulation per BGP.

BTW: Gelten diese Vorschläge nun eigentlich auch für "den Fritzbox 9370" oder nur für die FRITZ!Box 7490 in der Version 06.35?
Auch wenn sicherlich jeder von uns schon Tippfehler fabriziert hat, ist das in
Tom01 - Signatur schrieb:
Anleitung zum fritzen von W920V:
- kilometerllange Anleitungen ignorieren
- nicht mehr benötigtes XP ohne aktive FW und Virenscanner als Admin ausführen
- RuKernelTool ausführen und die selbsterklärende Oberfläche bedienen
- vorsichtshalber eventuell korumpiertes XP entsorgen

- zwei als 7570 gefritzte W920V, zwei Speedphone 300
- zwei W900V
- ein Fritzbox 9370
schon ein ziemlicher Rekord für eine Signatur.

Fehlt da eigentlich an der wiederkehrenden Versionsnummer noch ein weiteres "x" und ein Punkt (also 06.35.xxx Beta) oder hat das mit der neuen TLD überhaupt nichts zu tun?

Wie gesagt, ich halte die Idee eines Neubeginns einer "Wunschliste" mit Bestandsaufnahme dessen, was in der 06.35 jetzt umgesetzt wurde, nicht für vollkommen abwegig (Novize möge mir das verzeihen, aber die "Wunschliste für neue Features" ist inzwischen viel zu lang und einige Sachen tauchen immer wieder mal erneut auf, weil eben niemand diese Liste mehr in der Gesamtheit lesen kann), aber ob Du der Richtige für das Führen eines solchen Threads bist und die notwendige Ernsthaftigkeit, Sachkenntnis und Sorgfalt mitbringst, muß man angesichts der bisherigen Beiträge zumindest in Zweifel ziehen.

Wenn Du solche Zweifel ausräumen willst, solltest Du (meine Meinung, nicht verallgemeinern) noch einmal innehalten und die ersten Sachen hier zumindest in eine vernünftige Form bringen. Gerade solche Ungenauigkeiten wie "SFTP vs. FTPS" passen einfach nicht in einen solchen Thread, wenn das jemand bei AVM ernst nehmen soll und - auch das nur persönliche Meinungsäußerung - wenn ich als AVM-Supporter einen solchen Vorschlag per Webinterface unterbreitet bekommen würde, würde ich auch den Button für die Rundablage betätigen, anstatt da noch einmal nachzuhaken, was damit am Ende gemeint war. Auch offenkundige Widersprüche (in #2 wird ein Bug für die "06.35xx Beta" - das ist eben auch schon Unfug als "Wildcard" für eine Versionsangabe - schon vor dem Erscheinen dieser Beta-Version an AVM gemeldet) helfen nicht gerade bei einem "seriösen Anstrich" solch eines Threads.

Ich kann sogar Frust verstehen, wenn AVM nicht reagiert oder man mit den "Wir haben Ihren Vorschlag weitergeleitet."-Mails beglückt wird (ich kann damit auch ganze Zimmer tapezieren, wenn ich die alle ausdrucke), aber man kann es auch mit der "Sturheit" übertreiben. Und wenn man solche Aktionen wie hier startet, um "Druck auf AVM auszuüben" (#1) und dabei andere zum Kopieren der eigenen Problembeschreibung auffordert, dann sollte diese Beschreibung wenigstens so vorbildlich und klar sein, daß sich die Leute, die einer solchen Aufforderung folgen, nicht auch entsprechend blamieren ... denn daß Du das ja genau als "Service" für Leute verstehst, die ihrerseits nicht in der Lage sind, solche Fehler selbst zu finden, schreibst Du ja auch in #1, damit wäre die Erwartungshaltung, daß diese Leute selbst die Fehler in Deinem Text finden, ja eher nicht plausibel zu machen.

Zu dem in #2 beschriebenen Fehler habe ich dann auch noch eine Nachfrage. Für die 06.35-30804 konnte ich das bisher tatsächlich nicht selbst testen, aber nach dem, was dort steht, soll das ja schon bei vorhergehenden Versionen auftreten und hier wüßte ich gerne bei welcher. Wenn Du zusätzlich noch sagen könntest, mit welcher Labor-/Beta-Version dieses Problem "eingeführt" wurde, wäre das auch hilfreich, aber nicht zwingend für die Beantwortung des ersten Teils dieser Frage.
 
Mir ist die Intention dieses Threads nicht ersichtlich... Bugs werden im jeweiligen Firmware-Thread behandelt...
Zu glauben, durch "Öffentlichkeit" Druck auf AVM ausüben zu können (insbesondere bei Firmwarewünschen), ist doch wohl etwas vermessen...
 
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

In der FB unter Internet-Filter-Zugangsprofile nur selbst angelegten Zugangsprofilen gesperrte Anwendungen zu ordnen. Nicht jedoch bestehenden Profilen wie z.B. Standars als auch Gast

Dieses habe ich AVM bereits vor dem 07.07.2015 per Webformular gemeldet.
 
Verbesserungsvorschlag
FB 7490
FW: 06.35xx Beta

Es wäre nicht schlecht wenn die FB DNSCrypt unterstützen würde.

Begründung:
Dieses hätte mehrere Auswirkungen:
- Zum einem ist bei der Verwendung von DNSCrypt das DNS auf dem Übertragungsweg deutlich schwerer manipulierbar.
- Zum anderen ist bei Verwendung von DNSCrypt auf dem Übertragungsweg nicht mehr ohne weiteres der Inhalt der DNS Abfragen und Antworten durch ungebetene Gäste auswertbar.

Verbesserungsvorschlag per Webformular am 06.07.2015 an AVM mitgeteilt.
 
Das in #2 beschriebene Verhalten ist bei mir mit dem Build 30804 nicht nachstellbar.

Über das GUI konfigurierte DNS-Server werden - genau wie bisher auch - berücksichtigt, allerdings nicht parallel abgefragt und auch bei einer "NXDOMAIN"-Antwort des einen wird der andere nicht erneut befragt (jedenfalls nicht sichtbar) - das entspricht für mich genau noch dem bisherigen Verhalten mit dem "prefered server".

Nachdem auch in der Internet-Übersicht die Anzeige mit "(aktuell genutzt für Standardanfragen)" genau dem bisherigen Verhalten entspricht, würde ich eher auf einen L8-Fehler schließen oder auf die Notwendigkeit/den Versuch einer neuen Konfiguration verweisen.
 
Hab noch mal bei mir nachgeschaut. Bei folgenden im Webinterface eingetragenden DNS Servern
208.67.222.222 and 208.67.220.220

verwende die FB in wirklichkeit laut täglichen Reportemeail folgenden DNS Server (meines DSL Anbieters):
DNS-Server: 195.50.140.180 und 195.50.140.114


Hab jetzt mal testweise die folgenden eingetragen:
8.8.8.8
8.8.4.4

Mal sehen ob die anders behandelt werden
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.