Wünsche für neue Firmware-Features

Wäre viel zu unsicher wenn jeder der vorbeigeht gleich Zugang in dein Intranet bekommt!!!
Deswegen lässt man bei offen rumstehenden Boxen das Knopf-WPS auch nicht aktiviert und schaltet zusätzlich die Tastensperre ein und mein zweiter Wunsch ging in Richtung GastWLAN und nicht Intranet.

BTW ist WPS bei den meisten Smartphones so gut "versteckt" bzw. nicht vorhanden (iPhones), dass ich besser gleich das GastWLAN-Kennwort per Messenger verteile.
 
Durchschnittlich stehen halt WLAN-Boxen offen rum, im Kasten oder sonstwo versteckt wird man kaum je eine ordentliche WLAN-Versorgung zusammenbringen.
Und ob ich erst die Tastensperre aufheben, zur Box rennen und WPS drücken und dann wieder die Sperre aktivieren muß oder gleich nur einmal das WPS in der GUI starte ist letzteres sogar bedeutend weniger Aufwand.

Ich habe übrigens auch die Tastensperre aktiv auf den 3 anderen Mesh-Boxen, nur auf der Hauptbox im direkten Hauptwohnbereich kann man also WPS drücken damit Gäste schnell entsprechenden Zugang bekommen da ich (oder ein Familienmitglied) auch dies möglichst mitbekommen möchte.
Unsere eigenen Geräte auf der Haupt-SSID werden ja nur recht selten neue verbunden - und dann eben nur über die GUI. Macht doch irgendwie Sinn das ganze, zumindest aus meiner Sicht, deine ist wohl eine andere mir halt nicht ganz verständliche.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Grisu_
Weil bei mir etwa die allermeisten Heimgeräte keine Handys sind wo man den einlesen könnte und für Gäste-Handys gibts eh den WPS Knopf.
 
Einstellung der Zeitspanne nachder vom Mbilfunk wieder auf DSL zurückgekehrt wird, wenn die Syncronisation wieder steht. 30 min ist viel zu lang
 
Moinsen


Ich würde mir wünschen, dass nach obiger gewünschter Zeitspanne korrekt in den vorher eingestellten Verbindungsmodus zurückgefallen wird.
Bei einem 2.NAT Router wäre das...
Internet > Zugangsdaten > Internetzugangsdaten
...
Zugangsdaten
Werden Zugangsdaten benötigt?
(o) Nein

Nach beenden des Mobilfunks geht die Power/Internet LED auf Geblinke und dann steht da immer...
Zugangsdaten
Werden Zugangsdaten benötigt?
(o) Ja

Und der WAN Anschluss, der sich ja im DHCP Bereich des 1. NAT tummelt, sorgt für Chaos.
 
Ich wärme mal hier das Thema der Sicherheit von "Push-Mails" erneut auf - ich kann in dieser Hinsicht keine nennenswerten Verbesserungen in der 07.19 finden.

Erstens wäre es nicht verkehrt, wenn man optional einen öffentlichen Schlüssel für die Verschlüsselung des Nachrichteninhalts in der FRITZ!Box hinterlegen könnte - da reicht mir dann auch ein einzelner, selbst wenn unterschiedliche Adressen für die verschiedenen Mail-Typen verwendet werden sollten.

Meinetwegen könnte man das auch einfach per S/MIME mittels des ohnehin vorhandenen RSA-Keys der Box machen, den öffentlichen Teil zum Entschlüsseln solcher Mails kann man sich ja jetzt schon (als Bestandteil des Zertifikats) von der Box laden (EDIT: das wäre dann aber so eine Art "reverse encryption", weil in den Standards natürlich immer FÜR den Empfänger (und dessen privaten Key) verschlüsselt wird).

Dabei wäre es mir aber auch egal, ob man sich für S/MIME oder für OpenPGP entscheidet (oder gar beides anbietet), weil JEDE (halbwegs sicher implementierte) Verschlüsselung besser ist als gar keine. Ich möchte jedenfalls nicht wissen, in wievielen IMAP-Postfächern bei irgendwelchen FreeMail-Providern noch solche Nachrichten herumfliegen (ich kenne selbst genug Beispiele dafür) und auch wenn z.B. Credentials in angehangenen Sicherungsdateien noch einmal verschlüsselt sind, enthalten Anrufliste oder auch die lesbaren Daten in so einer Sicherungsdatei genug weitere Informationen, die einem Angreifer nicht unbedingt in die Hände fallen sollten - selbst wenn die "Themen", zu denen die Daten verschickt werden sollen, grob ausgewählt werden können.

Und daraus leitet sich auch mein zweiter "Wunsch" ab, der beim Erfüllen des ersten vielleicht auch nicht unbedingt obsolet, aber doch weniger wichtig würde ... und das wäre eine Option, den Inhalt der Nachrichten von allerlei "kritischen Informationen" (gerne auch nur optional, für den sicherheitsbewußten Kunden) zu befreien. Der komplette Verzicht auf den Versand ist da nicht unbedingt die gewünschte Alternative, auch wenn das natürlich ebenfalls das "Verbreiten" dieser Infos unterdrücken würde.

So bequem es auch für den einen oder anderen sein mag, wenn in der "Info-Mail" (oder auch in anderen Vorlagen) gleich ein HTTP(S)-Link auf die MyFRITZ!-Adresse hinterlegt ist, so unsicher ist das am Ende auch (das gilt auch für die Angaben dazu in "reinem Text").

Noch einfacher kann man es einem erfolgreichen Angreifer auf das Postfach (das geht von potentiellen XSS-Lücken im Web-Interface so eines Freemailers bis zum "richtigen" Angriff auf das verwendete Backend bei der Speicherung) gar nicht machen, den passenden Internet-Anschluß zu finden.

Bei den Nachrichten aus dem Eventlog hinsichtlich der IP-Adressen kann man wenigstens noch hoffen, daß diese tatsächlich dynamisch sind und sich irgendwann auch mal ändern. Aber anstelle von ~65.000 Portnummern, die ein Angreifer ansonsten (auch bei Kenntnis der IP-Adresse) noch abscannen müßte, um den zufällig gewählten Port für den externen Zugriff auf das GUI zu finden, bietet so eine Mail dann die genaue Kenntnis des verwendeten Ports (zumindest zum Zeitpunkt des Mailversands, wobei sich das i.d.R. ja dann nicht ändert, weil auch Apps, etc. davon betroffen wären).

Auch vom Vorteil, daß man mit Kenntnis des MyFRITZ!-Namens die Box dann immer wieder in den Weiten des Internets finden kann, profitiert bei so einem Link eben nicht nur der Besitzer der Box, sondern auch ein Angreifer ... das ist ähnlich zu den "Verzeichnissen" von LE-Zertifikaten, die an FRITZ!Boxen ausgegeben wurden (solange diese die MyFRITZ!-Domain von AVM benutzen).

Zwar könnte eine angebotene Verschlüsselung des Nachrichteninhalts das "Ausmisten" von kritischen Infos überflüssig machen, aber die Hürde für den Einsatz einer Verschlüsselung liegt bei den meisten wohl immer noch deutlich höher, als eine (obendrein möglichst noch voreingestellte) "Filterung" von kritischen Infos. Wenn es wirklich Kunden geben sollte, die auf die "ausführlichen Infos" in den Nachrichten gesteigerten Wert legen, könnte man ja ebenso hingehen und die aktivierte Verschlüsselung zur Voraussetzung für die Aufnahme solcher kritischen Infos in die E-Mails erklären.

Im Moment ist da jedenfalls AVM (nach meinem Dafürhalten) etwas über das Ziel hinausgeschossen, was den Umfang der Informationen in diesen Nachrichten angeht ... so lobenswert eine ausführliche Protokollierung auch ist (das möchte ich noch einmal ausdrücklich festhalten, daß praktisch kein Consumer-Router den Besitzer so umfassend über solche Ereignisse informiert, wie eine FRITZ!Box). Nur ermüdet es eben den (durchschnittlichen) Benutzer auch etwas (und stumpft ihn damit dann wieder für wirklich kritische Benachrichtigungen ab), wenn direkt nach dem Konfigurieren des Push-Mail-Absenders schon fast alles aktiviert ist, was man sich so denken kann und was ohne zusätzliche Infos (wie das Kennwort für die gesicherten Einstellungen) auskommt.

Ich verstehe zwar auch den Gedanken dahinter (ansonsten würden viele Benutzer sich z.B. die "Änderungsnotizen" vermutlich gar nicht erst zuschicken lassen und man hätte das "umsonst" eingebaut), aber ebenso dürfte es im "real life" häufiger so sein, daß die Leute gar nicht wirklich wissen, wo und wie fein sie diese Nachrichteninhalte selektieren können (und wir reden hier schon von den "runaways", die es bis zur Konfiguration des Absenders geschafft haben) und daß sie dann eher damit leben, wenn diese Mails immer kommen.

Das ist zwar für die "Forensik", wenn mal etwas passiert ist, dann durchaus von Vorteil (wenn die Nachrichten auch aufbewahrt und nicht gelöscht werden), führt aber auch zu der "Erfahrung" beim Besitzer, daß es vollkommen normal ist, wenn eine FRITZ!Box mit solchen E-Mails "nervt" und damit gehen die wirklich wichtigen Nachrichten (bei echten Security-Problemen) ganz schnell wieder im Rauschen unter. Das ist wie bei Äsop in "Der Hirtenjunge und der Wolf" ... schreit man zu oft, ignorieren es die Leute irgendwann.

Hier wäre meines Erachtens eine kleinere Dosis von Informationen (als Standardeinstellung, ansonsten kann es für meinen Geschmack gar nicht genau genug sein, solange die Infos nicht Gefahr laufen, unberechtigten Dritten in die Hände zu fallen) am Ende auch die sicherere Wahl ... eben weil dann manche Nachrichten ihren "Signalcharakter" behalten.

Das mit dem Verschlüsseln der Mail-Inhalte sollte gar nicht sooo aufwändig sein, wie das auf den ersten Blick aussieht (solange man es alleine betrachtet) ... wenn man einfach bei aktivierter Verschlüsselung die Nachricht an einen SMTP-Proxy auf der FRITZ!Box übergibt, der dann seinerseits erst mit dem Ziel-Server Kontakt aufnimmt und den Mail-Body (als "store, encrypt, forward") zuvor noch verschlüsselt, dann wäre der restliche Teil der Verarbeitung (von den Templates bis zum "mailer") davon erst einmal gar nicht betroffen ... jedenfalls solange man die vorgeschlagene "Filterung" nicht ebenfalls umsetzt, denn die hat natürlich Auswirkungen auf den "mailbuilder".
 
Zuletzt bearbeitet:
Ich wünsche mir, dass LAN-Netzwerkaktivitäten detailliert (An-/Abmeldungen von Geräten) in den Ereignissen protokolliert werden.

Ich wünsche mir separate Anruflisten für Mobilteile (oder Rufnummern). [Dass man die Anrufliste sortieren kann, ist klar.]
 
Zuletzt bearbeitet:
Hallo,

ich würde gerne mindestens einen USB Anschluss ins GAST-LAN/WLAN schalten können.
Wenn man TV's, Internet Radio und andere Geräte dorthin (Gast-Zugang) verfrachtet hat, hat man somit keinen Zugriff auf den Speicher an der Fritzbox. Hier und da wäre es Sinnvoll um Musik zu hören oder auch mal einen Film vom Mediaserver abspielen zu können.
 
  • Like
Reaktionen: Lecter
Genau.
Die haben doch Internet.
Da gibts doch schon alles.
Ausserdem sollten Geräte im Gastzugang auch nicht untereinander kommunizieren dürfen.
...das ist immer das Erste, was ich im "Hotel WLAN" ( für meine eigene Sicherheit ) anteste.
 
Nein, ja nicht!
Denn dann wäre die Sicherheit der FB nicht mehr gewährleistet!
Nein! Ich kenne diese Situationen und hätte mir schon oft gewünscht per Gastzugang auf meine USB-Platte zugreifen zu können. Mein WLAN-Schlüssel ist derart kompliziert, dass ich mich für Tests immer erst per Gastzugang einwähle. Außerdem möchte ich nicht jedem, der sich in meinem Netzwerk tummelt, meinen internen WLAN-Schlüssel geben. Dafür gibt es den Gastzugang. Ideal wäre es, wenn man für den Gastzugang ein bestimmtes Verzeichnis freigeben könnte als Exchange zwischen internen und Gastgeräten.
 
Zuletzt bearbeitet:
Wenn das Gastnetz erst mal Zugriff auf die FB hat, und das braucht es um auf die USB zugreifen zu können, dann sind Lücken und Angriffsmöglichkeiten schon vorprogrammiert.

Wenn du so was unbedingt brauchst, dann stell doch z.B. eine FB Client ins Gastnetz oder löse es irgend wie anders.
 
Zuletzt bearbeitet:
Oder stelle das Verzeichnis öffentlich ins Internet und greife darüber zu
 
Oder stell dir in dein Hauptnetz einen AP mit anderer SSID und einfachem Passwort.
Der muß ja nicht immer an sein. ;)
 
Oder ich hänge mich einfach an den selben Wunsch oben dran...das ist definitiv machbar, auch für Angsthasen...
 
Hallo,

schön das es für meinen Wunsch auch ein "für" oder "wieder" gibt.

Ich denke es würde bestimmt möglich sein, dies auch Sicher zu gestalten, soviel traue ich AVM doch zu.
 
nein. USB ist Netzwerk und kann dementsprechend nicht isoliert werden. Genau deswegen gibt es ja immer Sicherheitsprobleme. Weil irgendein Manager das durchdrücken will und dies dann mittels vieler Krücken realisiert wird die dann in schöner Regelmässigkeit umfallen.
Hängt eine weitere FB mittels Interzugang über Wlan/Lan ans Gastlan und beutzt dann an dieser den USB-Stick
 
  • Like
Reaktionen: Grisu_ und eisbaerin
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.