Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › AVM FritzOS: Neue Labor-Version…

Login

  1. Thema

Neues Thema Ansicht wechseln


  1. Login

    Autor: mcnesium 05.03.19 - 15:19

    …und nach wie vor exploited der Login Screen die verfügbaren Nutzernamen (siehe `fritzos7-test` im Video.

    Dieses Security-Desaster prangere ich seit Jahren an und hab es mangels öffentliche verfügbarem Bugtracker mehrmals per E-Mail gemeldet. Es wird jedoch nach wie vor wegignoriert.

  2. Re: Login

    Autor: sneaker 05.03.19 - 15:21

    Das Golem-Forum "exploited" Deinen Benutzernamen ebenfalls, "mcnesium".

  3. Re: Login

    Autor: mcnesium 05.03.19 - 15:30

    Was du nicht sagst… zum Glück kann ich im Golem-Forum keine Wifi-Keys auslesen/ändern, Port-Freigaben und VPN-Nutzer anlegen oder mal eben den Internet-Traffic für ein ganzes Haus kontrollieren.

  4. Re: Login

    Autor: djc82k 05.03.19 - 15:50

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > …und nach wie vor exploited der Login Screen die verfügbaren
    > Nutzernamen (siehe `fritzos7-test` im Video.) (...)

    Und wo ist das Problem? wenn ein computer offen ist, kann ich auch mit cmd den benutzernamen anzeigen lassen - wow? Wo ist jetzt das Problem??

  5. Re: Login

    Autor: gaym0r 05.03.19 - 15:58

    What? Wo genau ist das Problem? Wieso denkst du sollte das ein "Security-Desaster" sein? Was ist die Gefahr? Was kann ausgenutzt werden? Fragen!



    1 mal bearbeitet, zuletzt am 05.03.19 15:59 durch gaym0r.

  6. Re: Login

    Autor: Gormenghast 05.03.19 - 16:11

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > …und nach wie vor exploited der Login Screen die verfügbaren
    > Nutzernamen (siehe `fritzos7-test` im Video.
    >
    > Dieses Security-Desaster prangere ich seit Jahren an und hab es mangels
    > öffentliche verfügbarem Bugtracker mehrmals per E-Mail gemeldet. Es wird
    > jedoch nach wie vor wegignoriert.


    Hast Du Dich denn auch bereits bei Microsoft beschwert?
    Win macht das auf Einzelplätzen nicht anders.

  7. Re: Login

    Autor: mcnesium 06.03.19 - 09:45

    djc82k schrieb:
    --------------------------------------------------------------------------------
    > Und wo ist das Problem? wenn ein computer offen ist, kann ich auch mit cmd
    > den benutzernamen anzeigen lassen - wow? Wo ist jetzt das Problem??

    Ja, wow! Wenn ein Angreifer den Nutzernamen kennt, hat er schon mal die Hälfte der notwendigen Informationen für seinen Angriff. Das hilft beim Suchen in Rainbow Tables und ermöglicht Bruteforce-Attacken.

  8. Re: Login

    Autor: mcnesium 06.03.19 - 09:51

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > What? Wo genau ist das Problem? Wieso denkst du sollte das ein
    > "Security-Desaster" sein? Was ist die Gefahr? Was kann ausgenutzt werden?

    Siehe oben. Stichwort Rainbow Tables, Bruteforce-Attacke, usw. Es reicht möglicherweise schon, zu wissen wer Zugriff auf das Gerät hat, um dann beim Social Engineeering Erfolg zu haben

  9. Re: Login

    Autor: mcnesium 06.03.19 - 09:57

    Gormenghast schrieb:
    > Hast Du Dich denn auch bereits bei Microsoft beschwert?
    > Win macht das auf Einzelplätzen nicht anders.

    Es geht hier nicht um einen profanen Windows-Rechner, sondern um das Herzstück deines LAN.

    Allerdings: dass die Nutzer im Windows Login Screen angezeigt werden, ist genau so schlimm, kann man aber meines Wissens nach abschalten. Einerseits kann man bestimmte Nutzer, zum Beispiel die mit Admin-Rechten, ausblenden, andererseits kann man wohl die Anzeige ganz durch ein normales User/Passwort-Interface ersetzen.

  10. Re: Login

    Autor: 0xDEADC0DE 06.03.19 - 13:23

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > Es geht hier nicht um einen profanen Windows-Rechner, sondern um das
    > Herzstück deines LAN.

    Macht die Box das nur lokal, oder auch wenn man vom Internet aus darauf zugreift?

  11. Re: Login

    Autor: mcnesium 06.03.19 - 13:29

    Ich wüsste nicht, ob die Box da einen Unterschied macht.

    Aber der Angreifer kann auch im (W)LAN sitzen, darum ist das keine Entschuldigung.

  12. Re: Login

    Autor: 0xDEADC0DE 06.03.19 - 13:30

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > Ich wüsste nicht, ob die Box da einen Unterschied macht.

    Ich auch nicht, darum frage ich ja. Wenn sie einen machen würde, wäre dein Problem gelöst.

    > Aber der Angreifer kann auch im (W)LAN sitzen, darum ist das keine
    > Entschuldigung.

    Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz andere Probleme...

  13. Re: Login

    Autor: mcnesium 06.03.19 - 13:36

    0xDEADC0DE schrieb:

    > Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz andere Probleme...

    Erzähl das mal dem Betreiber deines Straßencafés, in dem du wegen dem Free Wifi abhängst.

  14. Re: Login

    Autor: Gormenghast 06.03.19 - 16:26

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > 0xDEADC0DE schrieb:
    >
    > > Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz
    > andere Probleme...
    >
    > Erzähl das mal dem Betreiber deines Straßencafés, in dem du wegen dem Free
    > Wifi abhängst.


    Dafür hat die Fritzbox Standardvorgaben, die genau für diese Anwendungsfälle gedacht sind. Diese WLAN-Gäste sind nämlich nicht in Deinem WLAN ;-)

    Aber sei unbesorgt: wenn die Anzeige des Benutzernamen ein Sicherheitsproblem bedeuten würde, wäre es bereits aufgegriffen worden. In Systeme dringt man entweder durch Social Engineering oder Sicherheitslücken ein. Nutzernamen helfen Dir (auch mit den von Dir erwähnten Tabellen!) nicht weiter.

  15. Re: Login

    Autor: mcnesium 06.03.19 - 16:41

    Gormenghast schrieb:
    > Dafür hat die Fritzbox Standardvorgaben, die genau für diese
    > Anwendungsfälle gedacht sind. Diese WLAN-Gäste sind nämlich nicht in Deinem WLAN ;-)

    Das ist doch egal, in welchem WLAN die Gäste sind. Man gibt einfach die IP-Adresse des WLAN-Gateways in den Browser ein und voila, eine Selectbox voller Nutzernamen

    > Aber sei unbesorgt: wenn die Anzeige des Benutzernamen ein
    > Sicherheitsproblem bedeuten würde, wäre es bereits aufgegriffen worden. In
    > Systeme dringt man entweder durch Social Engineering oder Sicherheitslücken
    > ein. Nutzernamen helfen Dir (auch mit den von Dir erwähnten Tabellen!)
    > nicht weiter.

    Nett, dass du mir das nochmal erklärst, aber der einschlägige Konsens in der IT-Sicherheit sieht das ein bißchen anders. Wenn du dich darüber informieren möchtest, gebe ich dir hier mal eine kleine Starthilfe:
    https://duckduckgo.com/?q=username+enumeration

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Allianz Private Krankenversicherungs-AG, München Unterföhring
  2. neubau kompass AG, München
  3. Bayerische Versorgungskammer, München
  4. Landkreis Hameln-Pyrmont, Hameln-Pyrmont

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

  1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
    Open Source
    NPM-Chef geht schon nach wenigen Monaten wieder

    Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

  2. Google: Chrome soll bessere Tab-Verwaltung bekommen
    Google
    Chrome soll bessere Tab-Verwaltung bekommen

    Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

  3. Samsung: Galaxy Fold bleibt extrem empfindlich
    Samsung
    Galaxy Fold bleibt extrem empfindlich

    Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


  1. 12:30

  2. 11:51

  3. 11:21

  4. 10:51

  5. 09:57

  6. 19:00

  7. 18:30

  8. 17:55