Unter Internet / Filter / Listen ist nun ein WPAD Filter zu finden.
Auf den warte ich
seit zwei Jahren ... bisher war es eben jedem LAN-Client möglich, sich beim DHCP-Request den Namen "wpad" zu geben bzw. den nachträglich über ein "nsupdate" zu setzen, sofern ihn noch kein anderes Gerät benutzte. Da das dann tatsächlich gegen eine WPAD-Attacke schützen konnte, habe ich extra einem Linux-Host (der eigentlich eine andere DHCP-ID verwendet) noch per "avahi" den zusätzlichen Namen "wpad" verpaßt, damit sich den kein anderes Gerät greifen kann:
Das ist dann nämlich der Name, der beim "WebProxy Auto-Discovery Protocol" verwendet wird, um die Adresse eines HTTP-Servers zu finden, der die lokale Proxy-Konfiguration für den Internet-Zugriff an die Clients im LAN verteilt. Ein Angreifer, der sich unter diesem Namen im LAN registrieren kann (und das FRITZ!OS akzeptierte "wpad" eben als vollkommen normalen Client-Namen und gab den in allen Namensräumen auch bei DNS-Anfragen von Clients heraus), kann praktisch jeden Internet-Verkehr von Clients mit aktivierter WPAD-Konfiguration über sich selbst umleiten und dabei alles das mitlesen, was unverschlüsselt ist.
Das geht ggf. bis hin zur "interception" von LAN-Abfragen, denn eigentlich ist diese Datei zur Proxy-Konfiguration eine Javascript-Datei, die auch entsprechende JS-Funktionen nutzen kann und von den meisten Browsern sogar dann ausgeführt wird, wenn JavaScript eigentlich deaktiviert ist.
Bei anderen DNS-Servern (z.B. bei dem von MS für Windows-ADs) gibt es Sperrlisten für solche Hostnamen (WPAD kann verschiedene Mechanismen zur Suche nach dem Server verwenden - von DHCP bis DNS und beim DNS auch mehrere Record-Typen), wo man die Verwendung eines solchen Namens erst ausdrücklich zulassen muß, weil die meisten Clients eben diese Automatik unterstützen und auch nutzen.
Man muß nur mal bei Start irgendeines Browsers auf irgendeinem Gerät die FRITZ!Box beobachten (am besten per Paketmitschnitt), ob da DNS-Abfragen nach "wpad.irgendwas" auftauchen ... dann hat man den ersten Kandidaten erwischt, dem ein Angreifer einen Proxy für den HTTP-Zugriff (und eben nicht nur für das Internet, denn das geht normalerweise nach (Ziel-)Domain-Namen bei der Festlegung eines Proxy-Servers) über einen Host namens "wpad" unterjubeln könnte.
@7490tester:
Das ist doch genau der Knackpunkt ... die 07.00 ist eine "Auskopplung" aus dem Source-Stand an einem bestimmten Punkt der Entwicklung, die obendrein für jedes Modell noch bei einem anderen Versionsstand erfolgt (das darf man zumindest bei einigem Abstand der Release-Versionen annehmen). Damit basieren die Fortsetzung der Labor-Reihe für ein Modell und die Release-Version zwar auf demselben älteren Stand im VCS (wer weiß, welches AVM benutzt ... da selbst MS inzwischen auf "git" schwört, tippe ich mal darauf) - nenn' ihn "trunk" oder "master" oder wie auch immer - aber die 07.00 ist ein "tag" oder "branch" an einer definierten Stelle für ein bestimmtes Modell.
Das wäre dann in etwa das hier:
Code:
---> master ---> master ---> master ---> development version ---> Punkt A
| | |
| | |---> 07.00 Modell 3 -> Punkt D
| |
| |---> 07.00 Modell 2 ---> Punkt C
|
|---> 07.00 Modell 1 ---> Punkt B
und bei AVM setzt sich die Entwicklung eben an Punkt A fort und nicht an Punkt B, C oder D.
Wenn es jetzt weitere Entwicklungen gibt, basieren diese ggf. auf demselben Master-Stand, wie die 07.00 für irgendein Modell - aber nicht zwangsweise tatsächlich auf dem Stand, der bei der 07.00 vorhanden war, sondern auf einem späteren.
Wäre das nämlich tatsächlich so, gäbe es gar keine Möglichkeit für Fehlerkorrekturen an der 07.00-Release, z.B. in Form einer Version 07.01, falls sich irgendein "show stopper" herausstellen sollte - die müßten dann ja ebenfalls wieder auf dem "weiterentwickelten Stand" ansetzen, der aber mit hoher Wahrscheinlichkeit wieder neue Fehler und neue, noch nicht vollständig implementierte Funktionen aufweist.
Stattdessen wird man dann (normalerweise) die Version beim Tag patchen (an Punkt B) und erneut - und zwar ohne weitere neue Entwicklungen - erstellen und verteilen und derselbe Patch wird ggf. (sofern er sich nicht aufgrund anderer Änderungen erledigt hat oder es auch einfach nur ein Backport eines Patches aus dem aktuellen Entwicklungszweig auf diesen älteren Release-Stand war) auch noch auf die aktuelle Entwicklerversion angewendet (das wäre dann an Punkt A).
Welchen "Namen" (aka welches "tag") die nächste aus dem weiterentwickelten Master ausgekoppelte Test-Version jetzt erhält, entscheidet doch ausschließlich deren Autor - zumal AVM mit diesen Versionsnummer ja bekanntlich tatsächlich (und zwar erfolgreich) steuert, welche "offiziellen" Upgrade-Pfade es gibt. Theoretisch könnte man ihn sogar vollkommen ohne irgendwelche Nummern belassen, wenn nicht die Installationsmechanismen von AVM auf irgendeiner Nummer bestehen würden.
Bei AVM kommt noch die Erkenntnis obendrauf, daß praktisch alle Entwicklungen (in der Basis) auf denselben Sourcen beruhen - deshalb gibt es soviel (teilweise auch unnützen) Code in den Release-Versionen, den man durch eine andere Architektur (bei der nur das auch eingebaut wird, was wirklich in dem Gerät umzusetzen ist) auch deutlich schlanker ausfallen lassen könnte.
Ich wollte jedenfalls darauf hinaus, daß die Folgeversionen für die 7590 eben nicht bei Punkt B ansetzen (gesetzt den Fall, Modell 1 wäre jetzt die 7590 gewesen), sondern stinknormal bei Punkt A und da dieser "Punkt A" nun mal "gleitend" ist und vor der Auskopplung der 07.00 für Modell 2 direkt hinter deren "master"-Stand lag, kann der eigentlich nicht "07.01-irgendwas" sein, weil er es für Modell 3, 4, 5 dann auch schon sein müßte.
An die Stelle von drei möglichen Fortsetzungen bei drei verschiedenen Modellen (die Zahlen erhöhen sich natürlich mit der Anzahl der "Auskopplungen") tritt eine einzige Stelle und es kann sogar passieren, daß die nächste Auskopplung für ein weiteres Modell gar nicht an Punkt A erfolgt, sondern an einem Stand davor, der z.B. irgendeine neue, noch nicht funktionierende Idee zu diesem Zeitpunkt noch nicht enthielt - denn es gibt zwischen den Auskopplungen i.d.R. natürlich auch mehr als einen neuen Stand.