Ich habe mich neulich wieder einmal mit dem Thema Zertifikate im Dunstkreis von TLS beschäftigt und bin sehr traurig über die Art und Weise, in der AVM Sicherheit bei den Produkten implementiert, die nicht zur Flaggschiffreihe der Fritz-Boxen gehören....
Ich hatte gerade mein Zertifikat erneutert und dessen Gültigkeitsdauer verlängert, das es mir ermöglicht, ohne Warnmeldungen per HTTPS auf die Weboberfläche der FritzBox zuzugreifen. Dabei fiel mir auf, dass ich es bisher versäumt hatte, meinen Fritz DVBC-Repeater in gleicher Weise mit einem Zertifikat aus meiner eigenen Certificate Authority auszustatten. Ich wollte das natürlich sofort nachholen.
Ich suchte nach einer entsprechenden Möglichkeit, eine eigene digitale Identität in den Repeater zu importieren und scheiterte. Dabei fielen mir diverse Dinge auf:
1) der VBC-Repeater verfügt über eine Möglichkeit des Sendersuchlaufs. Ich war immer ein wenig unglücklich, da der Repeater eine der wichtigen Komponenten meines digitalen Videorekorders im Eigenbau darstellt, er aber nicht alle Sender kennt, die ich auf meinem Fernseher ansehen kann. Ich fand den Grund dafür bei meiner Tour durch alle Links und Menüs der Weboberfläche des Repeaters heraus: Mein TV-Anbieter weiß wieder mal nicht, wie man eine NIT baut und der Repeater bezieht seine Informationen aus ebendieser NIT. Die Weboberfläche besitzt eine verborgene Möglichkeit, diese NIT zu ignorieren. Diese aktivierte ich, ließ nochmal einen Sendersuchlauf durchlaufen und siehe da - alle Sender wurden gefunden.
2) Einspielen eigener digitaler Identitäten ist nur möglich, wenn man das Gerät rootet. AVM weiß zwar prinzipiell, wie es geht (beweisen die Fritz-Boxen), jedoch entschied man sich willentlich dagegen, dieses Feature auf allen Geräten auszurollen - warum, wird wahrscheinlich auf ewig AVMs Geheimnis bleiben.
3) Kein Nutzermanagement möglich. Auf Fritzboxen kann man mehrere Nutzerkonten anlegen und diesen Nutzern Rechte zuweisen. So kann man es erreichen, dass es un(ter)privilegierte Logins gibt, die nur die Weboberfläche starten und Informationen über entgangene Anrufe und den Onlinestatus sehen, aber keine Konfigurationsänderungen vornehmen können. Das ist sehr begrüßenswert. Und wieder: Beim Repeater ist das nicht umgesetzt: Dort existiert nur ein Nutzer und dieser hat fest zugeordnet das Superuserpasswort der Fritzbox im Mesh. Das bedeutet, dass ich - um zum Beispiel die API zu verwenden - immer das Superuser-Passwort verwenden und in Skripten hinterlegen muss. Das ist steinzeitlich und hier zeigt sich wieder einmal, dass AVM beim Thema Sicherheit mit zweierlei Maß misst - die Flaggschiffreihe der Fritzboxen bieten alle erwarteten Features, aber die anderen Produkte fahren da eine sehr fragwürdige Strategie
Ticketsysteme sind lebende Wesen
29.03.2020
Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...
WeiterlesenEs wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...
WeiterlesenEs kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.
WeiterlesenManche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.