Ich habe diesen Fehler nun bei drei vorherigen Labors gemeldet und nun keine Lust mehr. Wenn das außer mir keinen anderen stört,
Und wieder eine, die die Lust verloren hat ... :gruebel:
Es stört sicherlich viele, aber die Anzahl der Leute, die seitens AVM ein Feedback auf derartige Meldungen erhalten, läßt sich offenbar bei Menschen ohne Fehlbildungen der oberen Extremitäten durchaus durch Abzählen ermitteln. Dabei kann ja wohl eine Bildschirmmaske für das Durchsehen der Feedback-Meldungen, die wenigstens die Antworten "Problem bekannt und in Bearbeitung" oder "neues Problem, wird weitergeleitet und untersucht" auf Knopfdruck an den meldenden Benutzer zurücksendet (natürlich nur, wenn der eine Mailadresse angegeben hat) und somit die Arbeit der vielen Tester wenigstens nicht gänzlich ungehört "verhallen" läßt, nicht wirklich eine "Kunst" sein.
Bei allem Verständnis dafür, daß man (gerade bei einer Beta-Version, auch wenn die 06.20 keine mehr ist inzwischen) nicht alle 2 Minuten denselben Fehler in irgendwelchen Meldungen lesen will, dann sollte AVM vielleicht mal das generelle Handling solcher Feedback-Meldungen überdenken. Ein Supportforum für Labor-Versionen, in dem dann die Kunden beim Melden ihres Problems auch vorher mal sehen oder suchen könnten, ob andere dasselbe Problem bereits gemeldet haben, würde sicherlich auch den "Posteingang" bei den Feedback-Meldungen entlasten.
Die gezielte Kontaktaufnahme zum Kunden, wenn da mehr Daten benötigt werden, ist ihnen ja immer noch unbenommen. Auch wenn einzelne Nutzer (speziell gmeyer) offenbar sehr gute Erfahrungen mit der Reaktion der Entwickler gemacht haben, nicht jeder kann und will so freigiebig mit den Support-Daten der Box umgehen, wie das offenbar bei AVM schon als Grundvoraussetzung gesehen wird, bevor man das Anliegen überhaupt ernst nimmt.
Wenn trotz präziser Fehlerbeschreibung und in 3 einfachen Schritten erklärten Aktionen zum Reproduzieren des Problems einfach tumb die Frage nach den Supportdaten kommt, verliert man logischerweise die Lust, wenn man vor deren Herausgabe erst noch einige sensible Informationen darin bearbeiten muß und AVM hinterher dann diese Daten deshalb auch noch rundweg ablehnt. Noch dazu, wenn das Problem auch ohne diese Daten auf jedem identischen Modell nachgestellt werden kann.
Das gilt schon mal für Support-Anfragen ... wer aber schon mal versucht hat, AVM vertraulich auf ein Sicherheitsproblem aufmerksam zu machen (vor dem Beginn dieses Jahres, danach habe ich es nie wieder probiert, vielleicht ist es ja inzwischen wirklich besser), der wird i.d.R. schon am 1st-Level-Support verzweifeln und kann sich dann (wenn es überhaupt eine Antwort gibt, ein Ticket gibt es eigentlich dabei nie) mit den "vielen Dank für Ihre Anregung"-Mails die Wände tapezieren, selbst wenn es keine "Anregung", sondern die Meldung eines konkreten Fehlers mit (manchmal auch nur potentiellen) Auswirkungen auf die Sicherheit ist.
Um mal wieder nicht nur abstrakt zu :kotz: und ein Beispiel für solch einen lange gemeldeten Fehler zu bringen (und gleichzeitig als BTT und Warnung an gutgläubige FRITZ!Box-Besitzer):
Eine IPv4-Netzwerk-Route zur Adresse "207.46.19.190", die nicht über das externe Interface geht (einfach im GUI einzurichten, wenn man einen beliebigen internen Host als Gateway dafür einträgt, die Adresse gehörte vor Jahren zu einem - inzwischen nicht mehr verwendeten - DNS-Server für die root-Zone), hebelt für den FTP-Server der Box die Unterscheidung von Zugriffen aus dem Internet von denen aus dem internen Netzwerk aus.
Hat man also intern keinen Zugriffsschutz konfiguriert (auch wenn AVM das nicht empfiehlt, lassen sie es doch zu) und irgendein "Helfer" kann den Benutzer zu dem an sich harmlosen Ansinnen des Eintrags einer solchen Route überreden (social engineering, per se dürfte selbst ein mittelmäßiger Admin einer Begründung "Damit will ich verhindern, daß da während unserer Reparaturversuche Verbindungen hin aufgebaut werden können, daher leiten wir diese Anfragen ins Nichts um." nicht unbedingt mißtrauen, da sie nicht vollkommen unlogisch ist), dann steht auch der FTP-Server nach außen hin vollkommen nackt da. Auch bei der Verwendung von Benutzerkonten haben plötzlich Benutzer ohne Internet-Rechte dann den Zugang zum FTP-Server auch aus dem Internet.
Es ist vollkommen gleich, wie realistisch dieses Szenario ist ... der von AVM eingeschlagene Weg zu Unterscheidung zwischen externen und internen Zugriffen ist einfach - heutzutage zumindest, aber das wurde dann für IPv6 vor einigen Jahren gleich noch genauso gebaut, nur mit anderer Adresse - nicht dazu geeignet, einem Angriff standzuhalten ... und das ohne Notwendigkeit, es geht auch anders.
Und wenn die vier ständig eingebundenen Sicherheitsfirmen das bei einem einfachen Monitoring nicht finden (die Quellen des ftpd
muß AVM sogar veröffentlichen aus Lizenzgründen), dann gibt es sie entweder gar nicht, sie haben keine Ahnung oder die Aufgabenstellung ist nicht die richtige. Die Faulheit der Firmen und die knappen Budgets können ja nicht die Ursache sein, wenn man sich vier voneinander unabhängige Dienstleister dafür hält. Bliebe noch eine abweichende Risikobewertung bei AVM ... aber dazu habe ich an anderer Stelle schon genug geschrieben.
