- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Ich weiß nicht, ob ich es wirklich ausreichend getestet habe, aber ich stelle es einfach mal als Behauptung meinerseits in den Raum und hoffe, daß ich damit anderen TR-064-Benutzern einiges an Grübeleien erspare - sollte jemand gegenteilige Erfahrungen gemacht haben oder noch machen, einfach her damit.
Im Zuge der Einführung der 2FA sperrt AVM jetzt alle Zugriffe über ein TR-064-Interface, wenn die dort aufgerufene Funktion (bei aktivierter 2FA in den Einstellungen) zusätzlich abgesichert ist im GUI. Konkret habe ich das anhand der "X_AVM-DE_GetConfigFile" im "deviceconfig"-Interface bemerkt und getestet.
Es wird auch kein spezieller Fehler zurückgegeben oder ähnliches ... die lapidare Antwort ist "500 Internal Server Error" und durch die TLS-Verbindung ist da mit einem Packet-Dump auch nichts wirklich zu sehen, wenn man mit einem "higher level"-Framework ans Werk geht und nicht selbst die TCP-Verbindung (nach der Entschlüsselung) kontrolliert - ich kenne das als "Fehlerbild" aber auch zur Genüge, wenn man wirklich mal einen falsch parametrierten Aufruf macht.
Wenn man an dieser Stelle also nicht tatsächlich absolut sicher weiß, daß der verwendete Aufruf tadellos funktionieren müßte, dann kommt man schnell ins Grübeln und hinterfragt den eigenen Code ... dabei war hier definitiv alles in Ordnung und ich mußte nur die 2FA abschalten, damit das - ohne jede Änderung - auch wieder funktionierte.
Nun ist es sicherlich ein Widerspruch, wenn man das GUI mit 2FA besser absichert und parallel bleibt das TR-064-Interface dann komplett offen ... aber zumindest eine entsprechende "Erwähnung" sollte es in der AVM-Dokumentation für Developer doch geben und auch eine getrennte Abschaltung der 2FA für TR-064 (die man ja dann auch gerne wieder über 2FA erst einmal bestätigen muß) sollte vielleicht eine Überlegung wert sein.
Will man etwas im Moment über TR-064 nutzen (und dank fehlender Dokumentation und weiterer Änderungen an dieser Stelle, kann man nicht einmal genau vorher sagen, welche Funktion nun zusätzlich gesperrt ist und welche halt einfach nur nicht funktioniert - gibt es ja auch genug), hat man nur die Wahl zwischen Pest (es geht halt nicht) oder Cholera (es geht alles - auch das GUI - ohne 2FA). Das ist auch alles andere als befriedigend und führt wieder zu einem weiteren Grund, die 2FA generell abzuschalten ... auch keine wirkliche Lösung.
Zumindest sollte es aber möglich sein, das Problem mal "anzureißen" in der Dokumentation und die dann auch mal an dieser Stelle zu aktualisieren ... für die HA-Funktionen ging das Anfang Juli ja auch. Wenn an einer Funktion dann einfach mal dranstehen würde, daß die bei 2FA nicht nutzbar ist, dann kann man sich einiges an Aufwand bei der Fehlersuche sparen.
Im Zuge der Einführung der 2FA sperrt AVM jetzt alle Zugriffe über ein TR-064-Interface, wenn die dort aufgerufene Funktion (bei aktivierter 2FA in den Einstellungen) zusätzlich abgesichert ist im GUI. Konkret habe ich das anhand der "X_AVM-DE_GetConfigFile" im "deviceconfig"-Interface bemerkt und getestet.
Es wird auch kein spezieller Fehler zurückgegeben oder ähnliches ... die lapidare Antwort ist "500 Internal Server Error" und durch die TLS-Verbindung ist da mit einem Packet-Dump auch nichts wirklich zu sehen, wenn man mit einem "higher level"-Framework ans Werk geht und nicht selbst die TCP-Verbindung (nach der Entschlüsselung) kontrolliert - ich kenne das als "Fehlerbild" aber auch zur Genüge, wenn man wirklich mal einen falsch parametrierten Aufruf macht.
Wenn man an dieser Stelle also nicht tatsächlich absolut sicher weiß, daß der verwendete Aufruf tadellos funktionieren müßte, dann kommt man schnell ins Grübeln und hinterfragt den eigenen Code ... dabei war hier definitiv alles in Ordnung und ich mußte nur die 2FA abschalten, damit das - ohne jede Änderung - auch wieder funktionierte.
Nun ist es sicherlich ein Widerspruch, wenn man das GUI mit 2FA besser absichert und parallel bleibt das TR-064-Interface dann komplett offen ... aber zumindest eine entsprechende "Erwähnung" sollte es in der AVM-Dokumentation für Developer doch geben und auch eine getrennte Abschaltung der 2FA für TR-064 (die man ja dann auch gerne wieder über 2FA erst einmal bestätigen muß) sollte vielleicht eine Überlegung wert sein.
Will man etwas im Moment über TR-064 nutzen (und dank fehlender Dokumentation und weiterer Änderungen an dieser Stelle, kann man nicht einmal genau vorher sagen, welche Funktion nun zusätzlich gesperrt ist und welche halt einfach nur nicht funktioniert - gibt es ja auch genug), hat man nur die Wahl zwischen Pest (es geht halt nicht) oder Cholera (es geht alles - auch das GUI - ohne 2FA). Das ist auch alles andere als befriedigend und führt wieder zu einem weiteren Grund, die 2FA generell abzuschalten ... auch keine wirkliche Lösung.
Zumindest sollte es aber möglich sein, das Problem mal "anzureißen" in der Dokumentation und die dann auch mal an dieser Stelle zu aktualisieren ... für die HA-Funktionen ging das Anfang Juli ja auch. Wenn an einer Funktion dann einfach mal dranstehen würde, daß die bei 2FA nicht nutzbar ist, dann kann man sich einiges an Aufwand bei der Fehlersuche sparen.
