NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,711
- Punkte für Reaktionen
- 2,307
- Punkte
- 113
Wie bereits geschrieben, habe ich nichts gegen eine zusätzliche Bestätigung, und ist auch sinnvoll.
Nur man muss unterscheiden, wo und wie die Box eingesetzt wird.
Da sehe ich schon noch einen großen Unterschied, ob ich diese in einem 3-Personen-Haushalt nutze, oder auf einer Schafweide, wo täglich ein Schaf verschwindet
Das Zauberwort heißt nach wie vor "Auswahlmöglichkeit", die mir eine freie Entscheidung darüber ermöglicht, ob ich diese Option haben will oder nicht.
Ich gehe mal davon aus, dass ich alt und schlau genug bin, dass ich diese Entscheidung selbst treffen kann und auch mit den Konsequenzen leben muss.
Nur man muss unterscheiden, wo und wie die Box eingesetzt wird.
Da sehe ich schon noch einen großen Unterschied, ob ich diese in einem 3-Personen-Haushalt nutze, oder auf einer Schafweide, wo täglich ein Schaf verschwindet
Das Zauberwort heißt nach wie vor "Auswahlmöglichkeit", die mir eine freie Entscheidung darüber ermöglicht, ob ich diese Option haben will oder nicht.
Ich gehe mal davon aus, dass ich alt und schlau genug bin, dass ich diese Entscheidung selbst treffen kann und auch mit den Konsequenzen leben muss.
@erik
ich hatte >>>gelesen<<< das es nicht funktioniert, wenn "two_factor_auth_enabled = yes" bereits aktiviert ist. Und in meinem Fall konnte ich das nicht ausschalten.
Oder habe ich da etwas verwechselt?
Gruß
Roland
ich hatte >>>gelesen<<< das es nicht funktioniert, wenn "two_factor_auth_enabled = yes" bereits aktiviert ist. Und in meinem Fall konnte ich das nicht ausschalten.
Oder habe ich da etwas verwechselt?
Gruß
Roland
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,711
- Punkte für Reaktionen
- 2,307
- Punkte
- 113
Ja. Man muss den FBEditor schließlich nicht zum exportieren und importieren der Konfiguration verwenden:
Edit:
Ja, wenn eine Person im einem 3-Personen-Hauhalt verschwindet ist der Schaden im vgl. zu einem verschwundenen Schaf auf einer Schafweide vermutlich wesentlich größer…Da sehe ich schon noch einen großen Unterschied, ob ich diese in einem 3-Personen-Haushalt nutze, oder auf einer Schafweide, wo täglich ein Schaf verschwindet
Ja, wenn das auch geht, ist es gut das diese Info jetzt im Thread steht... Ich hatte das eben auf der Seite gelesen und mich direkt nach einer anderen Lösung umgesehen.
Aber egal, mehrere Wege führen nach Rom Wichtiger ist, dass das angestrebte Ziel erreicht wird.
Naja, wenn da einer weniger ist, ist mehr Ruhe im Haus und die Bandbreite muss nur noch durch zwei geteilt werden
Aber egal, mehrere Wege führen nach Rom
Wichtiger ist, dass das angestrebte Ziel erreicht wird. Naja, wenn da einer weniger ist, ist mehr Ruhe im Haus und die Bandbreite muss nur noch durch zwei geteilt werden
Ist das Exportieren der Fritz!Box Sicherung und das Bearbeiten der Config und abspeichern mit dem FBEditor die einzige Möglichkeit, die 2FA wieder zu deaktivieren?
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,711
- Punkte für Reaktionen
- 2,307
- Punkte
- 113
Nein, zumindest bzgl. FBEditor.
Wenn man keinen Konsolenzugriff hat und auch nicht den Weg über ein temporäres Downgrade gehen will/kann (bei neuen/zukünftigen Modellen eh nicht mehr möglich) dann ist "Exportieren der Fritz!Box Sicherung, bearbeiten der Config, Prüfsumme dieser neu berechnen (bspw. per FBEditor, decoder, Fritz!Box Tools usw…) und Config importieren" tatsächlich die einzig verbliebene Möglichkeit.
Tipp:
Ich habe bei allen (neueren) Fritzbox-Modellen in meinem Umfeld mittlerweile die 2FA per TOTP aktiviert, auch wenn noch gar kein FRITZ!OS 7.5x installiert ist. So ist man vorbereitet und braucht weder Telefon noch Taste drücken (lassen). Ausnahme: Modelle mit FRITZ!OS <7.0x denn TOTP wird (leider) erst seit FRITZ!OS 7.00 unterstützt. Von daher verzichte ich (leider) bei Modellen wie der 7272, 7390, 7412 usw. auf die Aktivierung der 2FA.
Da ich die Passwörter eh in KeePassXC verwalte (und somit bei Zugriff auf die entspr. Fritzboxen sowieso darauf zurückgreifen muss) realisiere ich die 2FA per TOTP für die entspr. Fritzboxen auch gleich mit KeePass. Der Mehraufwand hält sich somit in Grenzen.
Wenn man keinen Konsolenzugriff hat und auch nicht den Weg über ein temporäres Downgrade gehen will/kann (bei neuen/zukünftigen Modellen eh nicht mehr möglich) dann ist "Exportieren der Fritz!Box Sicherung, bearbeiten der Config, Prüfsumme dieser neu berechnen (bspw. per FBEditor, decoder, Fritz!Box Tools usw…) und Config importieren" tatsächlich die einzig verbliebene Möglichkeit.
Tipp:
Ich habe bei allen (neueren) Fritzbox-Modellen in meinem Umfeld mittlerweile die 2FA per TOTP aktiviert, auch wenn noch gar kein FRITZ!OS 7.5x installiert ist. So ist man vorbereitet und braucht weder Telefon noch Taste drücken (lassen). Ausnahme: Modelle mit FRITZ!OS <7.0x denn TOTP wird (leider) erst seit FRITZ!OS 7.00 unterstützt. Von daher verzichte ich (leider) bei Modellen wie der 7272, 7390, 7412 usw. auf die Aktivierung der 2FA.
Da ich die Passwörter eh in KeePassXC verwalte (und somit bei Zugriff auf die entspr. Fritzboxen sowieso darauf zurückgreifen muss) realisiere ich die 2FA per TOTP für die entspr. Fritzboxen auch gleich mit KeePass. Der Mehraufwand hält sich somit in Grenzen.
Die 2FA per App kommt nicht in Betracht. Zugriff per Konsole heißt Telnet? Lässt sich der Telnet Zugang noch über die Tastenkombination an einem Mobilteil (temporär) aktivieren? Wie geht man dann weiter vor?
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,711
- Punkte für Reaktionen
- 2,307
- Punkte
- 113
Nein, nicht mit originaler Firmware.
Ist in Beitrag #5 verlinkt…
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,257
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Ich habe inzwischen feststellen können (nachdem mit der 07.56 nun die finalen Versionen des Entwicklungszweigs erschienen sind, schaue ich da auch wieder etwas genauer hin), daß sich AVM bei der Deaktivierung der 2FA noch eine Hintertür offengelassen hat.
Damit funktioniert das Deaktivieren auch ohne Editieren und (Re-)Import einer Sicherungsdatei - man braucht nur eine Session-ID für eine Sitzung, in der die 2FA bereits erfolgreich ausgeführt wurde (ohne 2FA funktioniert das nach meinen Tests GLÜCKLICHERWEISE nicht, denn das wäre wieder ein riesiges Security-Problem).
Dann muß man nur (von derselben IP-Adresse, von der die verwendete
oder als einzelne Zeile:
Das sendet man dann - wie erwähnt, als POST-Request(!) - an die Box, z.B. mit
Dabei muß man natürlich seine eigene SID angeben und ggf. auch die URL noch ändern, falls die eigene Box auf
BTW ... falls sich jemand über das
Ob bzw. wann AVM das wieder entfernt bzw. besser "absichert", weiß ich aber auch nicht - möglicherweise funktioniert das schon mit der nächsten Version nicht länger.
Damit funktioniert das Deaktivieren auch ohne Editieren und (Re-)Import einer Sicherungsdatei - man braucht nur eine Session-ID für eine Sitzung, in der die 2FA bereits erfolgreich ausgeführt wurde (ohne 2FA funktioniert das nach meinen Tests GLÜCKLICHERWEISE nicht, denn das wäre wieder ein riesiges Security-Problem).
Dann muß man nur (von derselben IP-Adresse, von der die verwendete
sid stammt) einen HTTP-POST-Request zusammenbasteln, der in den Formulardaten folgende Werte enthält:
Code:
xhr=1
page=support
twofactor=1
sid=<hier kommt die SID hin>
Code:
xhr=1&page=support&twofactor=1&sid=<sid>curl oder - unter Windows - auch einfach mit der PowerShell:
Rich (BBCode):
PS C:\Users\PeH> Write 'xhr=1&page=support&twofactor=1&sid=<sid>' | Invoke-RestMethod -Method 'Post' -Uri 'http://fritz.box/data.lua'fritz.box nicht kann.BTW ... falls sich jemand über das
twofactor=1 wundern sollte ... der Wert an sich ist egal, wichtig ist nur die Existenz eines Parameter-Namens twofactor. Für das AKTIVIEREN der 2FA auf diesem Weg, müßte man noch ein twofactor_auth_enabled=on hinzufügen zum Request.Ob bzw. wann AVM das wieder entfernt bzw. besser "absichert", weiß ich aber auch nicht - möglicherweise funktioniert das schon mit der nächsten Version nicht länger.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,257
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Was verstehst Du denn unter "dauerhaft"? Das kann danach natürlich auch wieder über "Zusätzliche Bestätigung..." erneut eingeschaltet werden - insofern ist das eben NICHT dauerhaft (nach meinem Verständnis). Aber galt bzw. gilt das nicht ebenso für die Variante, bei der man das über die Sicherungsdatei wieder DEaktiviert? Ich verstehe halt nicht so ganz, wo Du da einen Unterschied sehen oder machen willst. Die 2FA wird einfach wieder deaktiviert ... was danach passiert, kann weder der Request wissen, noch ich selbst.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,257
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Natürlich - sonst wäre die 2FA ja nur "vorübergehend außer Funktion" und nicht DEAKTIVIERT.
EDIT: Im Prinzip macht der Request nichts anderes als das, was beim Deaktivieren der 2FA VOR 07.39/07.5x auch passierte ... nur hat AVM den Code dafür eben jetzt in der Support-Seite stehen - daher wird die dann auch "angezeigt" (bzw. ausgegeben), wenn man das Ergebnis des Requests auch zu Gesicht bekommt (hängt halt davon ab, wie man das aufruft - ich habe ja nur ein Beispiel bzw. eine "Anregung" gegeben in meinem Beitrag oben).
EDIT: Im Prinzip macht der Request nichts anderes als das, was beim Deaktivieren der 2FA VOR 07.39/07.5x auch passierte ... nur hat AVM den Code dafür eben jetzt in der Support-Seite stehen - daher wird die dann auch "angezeigt" (bzw. ausgegeben), wenn man das Ergebnis des Requests auch zu Gesicht bekommt (hängt halt davon ab, wie man das aufruft - ich habe ja nur ein Beispiel bzw. eine "Anregung" gegeben in meinem Beitrag oben).
Hallo,
habe den o.g. Code über die Powershell mit Ergänzung meiner SID eingegeben. FB-Name passt. Allerdings kommt nach Eingabe Enter u.a. ein langer, unübersichtlicher Fließtext, indem auch etwas von "Fehlender Berechtigung" steht. Im FB-Menü sieht der Pkt. "Zusätzliche Bestätigung" unverändert aus.
Es hat also leider nicht funktioniert.
Da ich der Einzige User an meinem PC bin, war ich immer davon ausgegangen, dass ich auch alle Admin-Rechte habe. Oder was ist der Grund des Scheiterns?
Gruß
Max
Zuletzt bearbeitet von einem Moderator:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,257
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Die Session muss ZUVOR mittels 2FA autorisiert sein, z.B. durch manuellen Aufruf der Sicherung für die Einstellungen.
EDIT:
Das Vollzitat wäre sicherlich auch nicht nötig, da reicht auch ein Link auf den Beitrag als Verweis. Der Beitrag hier hat sich mit meinem in dem anderen Thread dann überschnitten: https://www.ip-phone-forum.de/threa...h-nicht-rückgängig-machen.317754/post-2538421
EDIT:
Das Vollzitat wäre sicherlich auch nicht nötig, da reicht auch ein Link auf den Beitrag als Verweis. Der Beitrag hier hat sich mit meinem in dem anderen Thread dann überschnitten: https://www.ip-phone-forum.de/threa...h-nicht-rückgängig-machen.317754/post-2538421
Neueste Beiträge
-
Gigaset Comfort 520A IP Base an Telekom Company Pro 50
- Letzte: bigboi
-
[Problem] Home Server Tausch 7590AX zu 7690 funktioniert nicht
- Letzte: fisch-li
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: wmf79
-
Mod Patch Error inetstat_counter.lua.rej FW8 FB7590
- Letzte: almaty1707
-
Nicht verbunden - Offline / Eingreifen erforderlich- Letzte: ecki2
-
Die neue FRITZ!Box 7682
- Letzte: hypnorex
-
Senioren-Dect direkt auf Octopus?
- Letzte: TelMike
