- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,275
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Das kann dann jeder selbst umsetzen ... ich habe mir das mit dem "Sicherheitsproblem" noch einmal durch den Kopf gehen lassen und bin (für mich) zu dem Schluß gekommen, daß es nicht hilfreich ist, eine reine Information, daß man nicht die sichersten Einstellungen, die von der Firmware angeboten werden, verwendet, einfach "zu unterdrücken". Wer die 2FA generell abschaltet (was bei Fernwartung mehr oder weniger verständlich ist), der sollte wenigstens ständig daran erinnert werden.
Zumal ein "unter anderem" ja auch aussagen würde, daß es noch andere "sicherheitsrelevante Einstellungen" gibt, die diese Meldung verursachen könn(t)en - ich habe mir das immer noch nicht (im Rahmen von "modfs") genau angesehen, weil es immer noch keine Release-Version für die 7490 (und andere VR9-Boxen, auf die "modfs" ja in erster Linie zielt) gibt. Aber ich rate mal, daß (hoffentlich) auch die Verwendung von "Kennwortlose Anmeldung" diese Message triggert und vielleicht auch noch ein paar weitere Bedingungen ... die jetzt mit einem Patch alle auf einen Schlag "totzulegen" (wenn meine Annahme stimmen sollte, daß AVM da nicht nur die eine Bedingung berücksichtigt), wäre in meinen Augen wieder wenig hilfreich.
Zumal es auch kein Problem ist, mit einer VPN-Verbindung und einer Shell auf der Box (alles Dinge, die man sowohl mit "modfs" als auch mit Freetz[-NG] realisieren kann) die 2FA nur dann zu deaktivieren, wenn das tatsächlich für irgendwelche Wartungsarbeiten erforderlich ist. Aktiviert man die hinterher auch wieder, verschwindet die Fehlermeldung ebenso.
Daher wird's von mir so einen Patch doch nicht geben (entgegen der früheren Aussage in dem oben verlinkten Beitrag) - wo man das ändern könnte, kann man sich im Freetz-NG-Patch ja ansehen und dann eben selbst umsetzen. Da das Abschalten der 2FA letztlich die Sicherheit des gesamten FRITZ!OS - unnötigerweise - verringert, möchte ich niemanden dabei unterstützen (deshalb würde ich auch kein entsprechendes "modscript" von dritter Seite in "contrib" aufnehmen) - wer das tatsächlich für notwendig hält (und AVM läßt es ja auch zu, weil es sicherlich in Sonderfällen auch gute Gründe geben mag), der sollte auch mit der entsprechenden Warnung im GUI leben können, denn die tut ja niemandem wirklich weh, sondern weist nur darauf hin, daß da etwas faul sein könnte.
Das ist - für mich - auch der Unterschied zu der "Vom Hersteller ..."-Meldung - die ist "reine Schikane", weil sie eben keine sicherheitsrelevanten Probleme signalisiert und auch nicht ohne weiteres wieder "gelöscht" werden kann (wobei das "clear_id 87" nach der Verwendung von "ar7login" - und nur dann ist das noch relevant, weil die anderen Bedingungen (u.a. die Installation unsignierter Firmware) von AVM mittlerweile ohnehin gesperrt sind - ohnehin zum "Standard-Repertoire" gehören sollte bzw. man das auch nur dann aufrufen kann, wenn das "tainted"-Flag im TFFS-Node 87 gesetzt ist), was das Ausblenden im GUI wieder legitim erscheinen läßt für meine Begriffe.
Wenn aber Erweiterungen/Änderungen den Betrieb einer FRITZ!Box (dauerhaft) unsicherer machen, sollte man als Besitzer die Notwendigkeit dieser Änderungen ständig neu hinterfragen. Es gibt ja auch gute Gründe, warum ich zwar gegen die (permanente) Verwendung des "telnetd" argumentiere und gleichzeitig dessen Aktivierung ermögliche - aber eben nicht als permanent gestarteten Dienst, der vom Besitzer dann gar nicht mehr zu stoppen/abzuschalten ist, sondern als "on demand"-Dienst, den man per Telefon starten kann und den man danach dann auch wieder stoppen sollte. Wer permanenten Shell-Zugang will/braucht, sollte sich eher auf einen SSH-Server auf der Box verlegen - ein aktueller "dropbear" mit ED25519-Auth ist beim Login ab VR9 nur noch unmerklich langsamer, als ein Telnet-Zugang und bietet mit einem SFTP-Server auch gleich noch einen zuverlässig geschützten, externen Zugriff auf das Dateisystem.
Zumal ein "unter anderem" ja auch aussagen würde, daß es noch andere "sicherheitsrelevante Einstellungen" gibt, die diese Meldung verursachen könn(t)en - ich habe mir das immer noch nicht (im Rahmen von "modfs") genau angesehen, weil es immer noch keine Release-Version für die 7490 (und andere VR9-Boxen, auf die "modfs" ja in erster Linie zielt) gibt. Aber ich rate mal, daß (hoffentlich) auch die Verwendung von "Kennwortlose Anmeldung" diese Message triggert und vielleicht auch noch ein paar weitere Bedingungen ... die jetzt mit einem Patch alle auf einen Schlag "totzulegen" (wenn meine Annahme stimmen sollte, daß AVM da nicht nur die eine Bedingung berücksichtigt), wäre in meinen Augen wieder wenig hilfreich.
Zumal es auch kein Problem ist, mit einer VPN-Verbindung und einer Shell auf der Box (alles Dinge, die man sowohl mit "modfs" als auch mit Freetz[-NG] realisieren kann) die 2FA nur dann zu deaktivieren, wenn das tatsächlich für irgendwelche Wartungsarbeiten erforderlich ist. Aktiviert man die hinterher auch wieder, verschwindet die Fehlermeldung ebenso.
Daher wird's von mir so einen Patch doch nicht geben (entgegen der früheren Aussage in dem oben verlinkten Beitrag) - wo man das ändern könnte, kann man sich im Freetz-NG-Patch ja ansehen und dann eben selbst umsetzen. Da das Abschalten der 2FA letztlich die Sicherheit des gesamten FRITZ!OS - unnötigerweise - verringert, möchte ich niemanden dabei unterstützen (deshalb würde ich auch kein entsprechendes "modscript" von dritter Seite in "contrib" aufnehmen) - wer das tatsächlich für notwendig hält (und AVM läßt es ja auch zu, weil es sicherlich in Sonderfällen auch gute Gründe geben mag), der sollte auch mit der entsprechenden Warnung im GUI leben können, denn die tut ja niemandem wirklich weh, sondern weist nur darauf hin, daß da etwas faul sein könnte.
Das ist - für mich - auch der Unterschied zu der "Vom Hersteller ..."-Meldung - die ist "reine Schikane", weil sie eben keine sicherheitsrelevanten Probleme signalisiert und auch nicht ohne weiteres wieder "gelöscht" werden kann (wobei das "clear_id 87" nach der Verwendung von "ar7login" - und nur dann ist das noch relevant, weil die anderen Bedingungen (u.a. die Installation unsignierter Firmware) von AVM mittlerweile ohnehin gesperrt sind - ohnehin zum "Standard-Repertoire" gehören sollte bzw. man das auch nur dann aufrufen kann, wenn das "tainted"-Flag im TFFS-Node 87 gesetzt ist), was das Ausblenden im GUI wieder legitim erscheinen läßt für meine Begriffe.
Wenn aber Erweiterungen/Änderungen den Betrieb einer FRITZ!Box (dauerhaft) unsicherer machen, sollte man als Besitzer die Notwendigkeit dieser Änderungen ständig neu hinterfragen. Es gibt ja auch gute Gründe, warum ich zwar gegen die (permanente) Verwendung des "telnetd" argumentiere und gleichzeitig dessen Aktivierung ermögliche - aber eben nicht als permanent gestarteten Dienst, der vom Besitzer dann gar nicht mehr zu stoppen/abzuschalten ist, sondern als "on demand"-Dienst, den man per Telefon starten kann und den man danach dann auch wieder stoppen sollte. Wer permanenten Shell-Zugang will/braucht, sollte sich eher auf einen SSH-Server auf der Box verlegen - ein aktueller "dropbear" mit ED25519-Auth ist beim Login ab VR9 nur noch unmerklich langsamer, als ein Telnet-Zugang und bietet mit einem SFTP-Server auch gleich noch einen zuverlässig geschützten, externen Zugriff auf das Dateisystem.