1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › AVM FritzOS: Neue Labor-Version…

Login

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Login

    Autor: mcnesium 05.03.19 - 15:19

    …und nach wie vor exploited der Login Screen die verfügbaren Nutzernamen (siehe `fritzos7-test` im Video.

    Dieses Security-Desaster prangere ich seit Jahren an und hab es mangels öffentliche verfügbarem Bugtracker mehrmals per E-Mail gemeldet. Es wird jedoch nach wie vor wegignoriert.

  2. Re: Login

    Autor: sneaker 05.03.19 - 15:21

    Das Golem-Forum "exploited" Deinen Benutzernamen ebenfalls, "mcnesium".

  3. Re: Login

    Autor: mcnesium 05.03.19 - 15:30

    Was du nicht sagst… zum Glück kann ich im Golem-Forum keine Wifi-Keys auslesen/ändern, Port-Freigaben und VPN-Nutzer anlegen oder mal eben den Internet-Traffic für ein ganzes Haus kontrollieren.

  4. Re: Login

    Autor: djc82k 05.03.19 - 15:50

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > …und nach wie vor exploited der Login Screen die verfügbaren
    > Nutzernamen (siehe `fritzos7-test` im Video.) (...)

    Und wo ist das Problem? wenn ein computer offen ist, kann ich auch mit cmd den benutzernamen anzeigen lassen - wow? Wo ist jetzt das Problem??

  5. Re: Login

    Autor: gaym0r 05.03.19 - 15:58

    What? Wo genau ist das Problem? Wieso denkst du sollte das ein "Security-Desaster" sein? Was ist die Gefahr? Was kann ausgenutzt werden? Fragen!



    1 mal bearbeitet, zuletzt am 05.03.19 15:59 durch gaym0r.

  6. Re: Login

    Autor: Gormenghast 05.03.19 - 16:11

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > …und nach wie vor exploited der Login Screen die verfügbaren
    > Nutzernamen (siehe `fritzos7-test` im Video.
    >
    > Dieses Security-Desaster prangere ich seit Jahren an und hab es mangels
    > öffentliche verfügbarem Bugtracker mehrmals per E-Mail gemeldet. Es wird
    > jedoch nach wie vor wegignoriert.


    Hast Du Dich denn auch bereits bei Microsoft beschwert?
    Win macht das auf Einzelplätzen nicht anders.

  7. Re: Login

    Autor: mcnesium 06.03.19 - 09:45

    djc82k schrieb:
    --------------------------------------------------------------------------------
    > Und wo ist das Problem? wenn ein computer offen ist, kann ich auch mit cmd
    > den benutzernamen anzeigen lassen - wow? Wo ist jetzt das Problem??

    Ja, wow! Wenn ein Angreifer den Nutzernamen kennt, hat er schon mal die Hälfte der notwendigen Informationen für seinen Angriff. Das hilft beim Suchen in Rainbow Tables und ermöglicht Bruteforce-Attacken.

  8. Re: Login

    Autor: mcnesium 06.03.19 - 09:51

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > What? Wo genau ist das Problem? Wieso denkst du sollte das ein
    > "Security-Desaster" sein? Was ist die Gefahr? Was kann ausgenutzt werden?

    Siehe oben. Stichwort Rainbow Tables, Bruteforce-Attacke, usw. Es reicht möglicherweise schon, zu wissen wer Zugriff auf das Gerät hat, um dann beim Social Engineeering Erfolg zu haben

  9. Re: Login

    Autor: mcnesium 06.03.19 - 09:57

    Gormenghast schrieb:
    > Hast Du Dich denn auch bereits bei Microsoft beschwert?
    > Win macht das auf Einzelplätzen nicht anders.

    Es geht hier nicht um einen profanen Windows-Rechner, sondern um das Herzstück deines LAN.

    Allerdings: dass die Nutzer im Windows Login Screen angezeigt werden, ist genau so schlimm, kann man aber meines Wissens nach abschalten. Einerseits kann man bestimmte Nutzer, zum Beispiel die mit Admin-Rechten, ausblenden, andererseits kann man wohl die Anzeige ganz durch ein normales User/Passwort-Interface ersetzen.

  10. Re: Login

    Autor: 0xDEADC0DE 06.03.19 - 13:23

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > Es geht hier nicht um einen profanen Windows-Rechner, sondern um das
    > Herzstück deines LAN.

    Macht die Box das nur lokal, oder auch wenn man vom Internet aus darauf zugreift?

  11. Re: Login

    Autor: mcnesium 06.03.19 - 13:29

    Ich wüsste nicht, ob die Box da einen Unterschied macht.

    Aber der Angreifer kann auch im (W)LAN sitzen, darum ist das keine Entschuldigung.

  12. Re: Login

    Autor: 0xDEADC0DE 06.03.19 - 13:30

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > Ich wüsste nicht, ob die Box da einen Unterschied macht.

    Ich auch nicht, darum frage ich ja. Wenn sie einen machen würde, wäre dein Problem gelöst.

    > Aber der Angreifer kann auch im (W)LAN sitzen, darum ist das keine
    > Entschuldigung.

    Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz andere Probleme...

  13. Re: Login

    Autor: mcnesium 06.03.19 - 13:36

    0xDEADC0DE schrieb:

    > Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz andere Probleme...

    Erzähl das mal dem Betreiber deines Straßencafés, in dem du wegen dem Free Wifi abhängst.

  14. Re: Login

    Autor: Gormenghast 06.03.19 - 16:26

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > 0xDEADC0DE schrieb:
    >
    > > Wenn man Angreifer ins Netz lässt bzw schon im Netz hat, hat man ganz
    > andere Probleme...
    >
    > Erzähl das mal dem Betreiber deines Straßencafés, in dem du wegen dem Free
    > Wifi abhängst.


    Dafür hat die Fritzbox Standardvorgaben, die genau für diese Anwendungsfälle gedacht sind. Diese WLAN-Gäste sind nämlich nicht in Deinem WLAN ;-)

    Aber sei unbesorgt: wenn die Anzeige des Benutzernamen ein Sicherheitsproblem bedeuten würde, wäre es bereits aufgegriffen worden. In Systeme dringt man entweder durch Social Engineering oder Sicherheitslücken ein. Nutzernamen helfen Dir (auch mit den von Dir erwähnten Tabellen!) nicht weiter.

  15. Re: Login

    Autor: mcnesium 06.03.19 - 16:41

    Gormenghast schrieb:
    > Dafür hat die Fritzbox Standardvorgaben, die genau für diese
    > Anwendungsfälle gedacht sind. Diese WLAN-Gäste sind nämlich nicht in Deinem WLAN ;-)

    Das ist doch egal, in welchem WLAN die Gäste sind. Man gibt einfach die IP-Adresse des WLAN-Gateways in den Browser ein und voila, eine Selectbox voller Nutzernamen

    > Aber sei unbesorgt: wenn die Anzeige des Benutzernamen ein
    > Sicherheitsproblem bedeuten würde, wäre es bereits aufgegriffen worden. In
    > Systeme dringt man entweder durch Social Engineering oder Sicherheitslücken
    > ein. Nutzernamen helfen Dir (auch mit den von Dir erwähnten Tabellen!)
    > nicht weiter.

    Nett, dass du mir das nochmal erklärst, aber der einschlägige Konsens in der IT-Sicherheit sieht das ein bißchen anders. Wenn du dich darüber informieren möchtest, gebe ich dir hier mal eine kleine Starthilfe:
    https://duckduckgo.com/?q=username+enumeration

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Heinz von Heiden GmbH Massivhäuser, Isernhagen
  2. Bundesinstitut für Risikobewertung, Berlin
  3. aluplast GmbH, Karlsruhe
  4. NOVO Data Solutions GmbH & Co. KG, Bamberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-91%) 1,20€
  2. 7,99€
  3. (-44%) 27,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Musik Software generiert Nirvana-Songtexte
  2. mmap Codeanalyse mit sechs Zeilen Bash
  3. Digitale Kultur Demoszene wird finnisches Kulturerbe

Echo Auto im Test: Tolle Sprachsteuerung und neue Alexa-Funktionen
Echo Auto im Test
Tolle Sprachsteuerung und neue Alexa-Funktionen

Im Auto ist die Alexa-Sprachsteuerung noch praktischer als daheim. Amazon hat bei Echo Auto die wichtigsten Einsatzzwecke im Fahrzeug bedacht.
Ein Test von Ingo Pakalski

  1. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto
  2. Echo Flex mit zwei Modulen im Test Gut gedacht, mäßig gemacht
  3. Amazon Zahlreiche Echo-Modelle nicht mehr bis Weihnachten lieferbar