Die FB unterstützt neben SFTP auch unverschlüsseltes FTP.
Das Problem ist jedoch, daß die Box gar kein SFTP unterstützt. SFTP ist "secure FTP" auf der Basis eines SSH-Servers (halt ein eingeschränkter Befehlsumfang und keine "richtige" Shell wie beim SSH) und die FRITZ!Box unterstützt in der Stock-Firmware kein SSH.
Selbst wenn man das mal in "FTPS" übersetzt - auch das ist eher wackelig, denn die FRITZ!Box bietet nur FTP mit "TLS AUTH"-Erweiterung, manchmal auch als "explizites FTPS" bezeichnet, weil der Client
explizit mit einem Kommando auf TLS-Modus umschalten muß, während es bei
implizitem FTPS aus dem benutzten Port hervorgeht - erschließt sich (mir zumindest) die Aussage
Tom01 schrieb:
Zumal das Weglassen von unverschlüsselten FTP zu keine irritierenden Fehlermeldungen führt wie die Verwendung von https (ohne entsprechendes Zertifikat)
nicht wirklich. Was wolltest Du am Ende damit sagen? Daß bei FTPS kein gültiges Zertifikat benötigt wird? Wenn das die Aussage sein soll, ist der verwendete Client einfach nur Schrott - auch beim Umschalten auf TLS-Mode sollte ein FTP-Client das Zertifikat des Servers ordentlich prüfen, sonst kann er sich die Verschlüsselung auch klemmen. Wenn jemand den offenen Verkehr unterwegs abhören könnte, könnte er (mit sehr wenigen Ausnahmen) auch als MITM einen Angriff auf eine solche Verbindung starten und dagegen hilft nur das korrekte Prüfen des Zertifikats (volle Funktionsfähigkeit des TLS-Protokolls an dieser Stelle mal unterstellt). Verschlüsseln um des Verschlüsselns willen ist einfach nur Unfug, das hat AVM mit einem ständig wechselnden Zertifikat für den FTP-Server auch lange genug praktiziert. Solange man sich der Identität der Gegenstelle nicht sicher sein kann, bringt das überhaupt nichts. Was ist denn am Ende durch die Verschlüsselung zu schützen? Beim FTP in Abhängigkeit vom zu verschlüsselnden Kanal zwei Sachen ... im Control-Channel die Credentials für die Anmeldung und alle "Ausgaben" seitens des FTP-Servers wie z.B. Dateinamen und im Daten-Channel die eigentlich zu übertragenden Daten. Solange man sich bei der Eingabe der Credentials nicht bereits davon überzeugt hat, daß am anderen Ende der verschlüsselten Verbindung auch tatsächlich der richtige (weil eigene) FTP-Server hängt, gibt man diese Daten ggf. gerade an den Angreifer weiter (ein Login-Verfahren auf Hash-Basis gibt es meines Wissens bei keinem verbreiteten Server). Für die übertragenen Daten gilt am Ende genau dasselbe ... ein Proxy mit einem "gefaketen" Zertifikat kann die Daten problemlos abgreifen, wenn die Authentizität des Zertifikats nicht geprüft wird (was bei einem "self-signed"-Zertifikat natürgemäß nicht möglich ist, wenn man das Zertifikat nicht bereits vorher auf einem gesonderten Kanal übermittelt bekommt, was wieder bei einem dynamisch generierten - wie AVM es früher praktiziert hat - mit erheblichen Problemen und Unsicherheiten verbunden ist). Jeder im "normalen Weg" der Daten passierte Router kann ein solcher potentieller Proxy für einen Angriff sein, eine ungesicherte Verbindung (und da heißt "gesichert" eben nicht nur "verschlüsselt") läßt sich praktisch an jedem Hop auftrennen in zwei Verbindungen. Nur wenn der "Lauscher" die Daten nur über "Mirroring" erhält (die oben erwähnte Ausnahme), ist der Aufwand etwas größer ... aber noch lange nicht unmöglich, auch da hilft dann ggf. eine Manipulation per BGP.
BTW: Gelten diese Vorschläge nun eigentlich auch für "den Fritzbox 9370" oder nur für die FRITZ!Box 7490 in der Version 06.35?
Auch wenn sicherlich jeder von uns schon Tippfehler fabriziert hat, ist das in
Tom01 - Signatur schrieb:
Anleitung zum fritzen von W920V:
- kilometerllange Anleitungen ignorieren
- nicht mehr benötigtes XP ohne aktive FW und Virenscanner als Admin ausführen
- RuKernelTool ausführen und die selbsterklärende Oberfläche bedienen
- vorsichtshalber eventuell korumpiertes XP entsorgen
- zwei als 7570 gefritzte W920V, zwei Speedphone 300
- zwei W900V
- ein Fritzbox 9370
schon ein ziemlicher Rekord für eine Signatur.
Fehlt da eigentlich an der wiederkehrenden Versionsnummer noch ein weiteres "x" und ein Punkt (also 06.35.xxx Beta) oder hat das mit der neuen TLD überhaupt nichts zu tun?
Wie gesagt, ich halte die Idee eines Neubeginns einer "Wunschliste" mit
Bestandsaufnahme dessen, was in der 06.35 jetzt umgesetzt wurde, nicht für vollkommen abwegig (Novize möge mir das verzeihen, aber die "Wunschliste für neue Features" ist inzwischen viel zu lang und einige Sachen tauchen immer wieder mal erneut auf, weil eben niemand diese Liste mehr in der Gesamtheit lesen kann), aber ob Du der Richtige für das Führen eines solchen Threads bist und die notwendige Ernsthaftigkeit, Sachkenntnis und Sorgfalt mitbringst, muß man angesichts der bisherigen Beiträge zumindest in Zweifel ziehen.
Wenn Du solche Zweifel ausräumen willst, solltest Du (meine Meinung, nicht verallgemeinern) noch einmal innehalten und die ersten Sachen hier zumindest in eine vernünftige Form bringen. Gerade solche Ungenauigkeiten wie "SFTP vs. FTPS" passen einfach nicht in einen solchen Thread, wenn das jemand bei AVM ernst nehmen soll und - auch das nur persönliche Meinungsäußerung - wenn ich als AVM-Supporter einen solchen Vorschlag per Webinterface unterbreitet bekommen würde, würde ich auch den Button für die Rundablage betätigen, anstatt da noch einmal nachzuhaken, was damit am Ende gemeint war. Auch offenkundige Widersprüche (in #2 wird ein Bug für die "06.35xx Beta" - das ist eben auch schon Unfug als "Wildcard" für eine Versionsangabe - schon
vor dem Erscheinen dieser Beta-Version an AVM gemeldet) helfen nicht gerade bei einem "seriösen Anstrich" solch eines Threads.
Ich kann sogar Frust verstehen, wenn AVM nicht reagiert oder man mit den "Wir haben Ihren Vorschlag weitergeleitet."-Mails beglückt wird (ich kann damit auch ganze Zimmer tapezieren, wenn ich die alle ausdrucke), aber man kann es auch mit der "Sturheit" übertreiben. Und wenn man solche Aktionen wie hier startet, um "Druck auf AVM auszuüben" (#1) und dabei andere zum Kopieren der eigenen Problembeschreibung auffordert, dann sollte diese Beschreibung wenigstens so vorbildlich und klar sein, daß sich die Leute, die einer solchen Aufforderung folgen, nicht auch entsprechend blamieren ... denn daß Du das ja genau als "Service" für Leute verstehst, die ihrerseits nicht in der Lage sind, solche Fehler selbst zu finden, schreibst Du ja auch in #1, damit wäre die Erwartungshaltung, daß diese Leute selbst die Fehler in Deinem Text finden, ja eher nicht plausibel zu machen.
Zu dem in #2 beschriebenen Fehler habe ich dann auch noch eine Nachfrage. Für die 06.35-30804 konnte ich das bisher tatsächlich nicht selbst testen, aber nach dem, was dort steht, soll das ja schon bei vorhergehenden Versionen auftreten und hier wüßte ich gerne bei welcher. Wenn Du zusätzlich noch sagen könntest, mit welcher Labor-/Beta-Version dieses Problem "eingeführt" wurde, wäre das auch hilfreich, aber nicht zwingend für die Beantwortung des ersten Teils dieser Frage.
