Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
Diese Community verwendet Tracking-Tools Matomo zur Verbesserung des Angebots. Mit Zustimmung hilfst Du uns unsere Seite zu verbessern und akzeptieren unsere Datenschutzerklärung. Vielen Dank!   Erfahren mehr.
Zustimmen Nicht Zustimmen
DMR

Connect Box Passwörter in Klartext und Eingabemasken reagieren nicht

Hallo,

noch ein weiteres Problem mit meiner tollen neuen Connect Box.
Das Konfigurationsmenü der Box ist mehr als nur schlecht programmiert.
Es reagiert extrem Träge. Buttons wie Übernehmen usw. reagieren oft gar nicht, obwohl im Hintergrund tatsächlich die Funktion ausgeführt wird. Es wird also gespeichert, obwohl es nicht zu sehen ist.

Und bitte wie kann jemand nur auf die glorreiche Idee kommen alle Passwörter in der Box in Klartext anzeigen zu lassen?????
Selbst das Loginpasswort wird in Klartext bei der Eingabe angezeigt. Mehr NOGO geht nicht.
Neben den ganzen technischen Problemen vertraue ich dem Ding jetzt auch Sicherheitstechnisch gar nicht mehr.

Mal ehrlich Unity Media, ich fühle wie in die 90er zurückversetzt.

Gruß
Dennis
Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
6 Kommentare
2017-05-31T11:17:09Z
  • Mittwoch, 31.05.2017 um 13:17 Uhr

Was hat denn die KlartextANZEIGE beim Login auf die Box mit ihrer Sicheheit zu tun?

Verstehe ich das richtig: Du kannst Dir den Fall vorstellen, dass Dir jemand über die Schulter sieht, wenn Du Dich ZUHAUSE auf Das Kofigurationsmenü Deines Router einloggst? Weil das wäre idT. das einzige Sicherheitsrisiko im Vergleich zu Platzhaltern. Das ist schon ein wenig, naja, paranoid, oder?

Im Gegenteil: Ich hab noch keinen anderen Router kennengelernt, der bei Erstinbetriebnahme ZWINGEND die Vergabe eines neuen Netzwerkpassworts abfragt, was die Sicherheit im Gegensatz zu vorgenerierten Passwörtern enorm erhöht. 

2017-05-31T20:38:33Z
  • Mittwoch, 31.05.2017 um 22:38 Uhr
Na ich muss DMR schon recht geben. Wenn selbst primitivste Sicherheitsvorkehrungen nicht implementiert sind, wie z.B. die Klartextanzeige des Passworts gibt einem das schon zu denken. Als Softwareentwickler würde ich behaupten, da fehlen die primitivsten Qualitätsprozesse bei der SW Freigabe. Man möchte nicht wissen, wie es bei den nicht offensichtlichen Funktionsteilen der SW aussieht.
2017-05-31T22:22:23Z
  • Donnerstag, 01.06.2017 um 00:22 Uhr
Wo stehen die (WLAN) Passworte im Klartext? - In der Konfig.-Oberfläche der CB.
Wie komm ich da hin? - Nur indem ich mich in die CB einloggen kann.
Könnte ich denn auch verdeckte Passworte ändern, wenn ich einmal eingeloggt bin? - Ja.
Kann ich mich von außerhalb meines Netzwerks (zB. vom Flughafen, Starbucks etc.) auf die CB einloggen und dabei beobachtet werden? Nein, ich kann da nur im eigenen Netzwerk drauf zugreifen, wenn ich nicht so doof bin, die Fernwartung für so ein unsinniges Szenario freizuschalten.
Wo nochmal genau seht ihr jetzt das Sichheitsrisiko?
Dass jemand, der bereits Zugriff auf das KonfigMenü hat, eure WLAN Passwörter sieht?
Dass euch Jemand in euren vier Wänden bei der (Klartext-) Eingabe eures CB Logins beobachtet und das optisch auf eurem Bildschirm mitliest? Wow, Danger!
Mann, ihr seid nicht nur Experten (sorry: Softwareentwickler), sondern sogar Spezialspezialisten! Respekt!
2017-06-01T03:22:06Z
  • Donnerstag, 01.06.2017 um 05:22 Uhr
Ich glaube du willst es nicht verstehen. Bei der professionellen SW Entwicklung gibt es Qualitätsprozesse, wie z.B. einen Secure Development Lifecycle. Hierbei wird über geeignete Reviewmaßnahmen sichergestellt, dass Sicherheitsregeln bei der Programmierung eingehalten werden. Nicht verdeckte Üassworteingabe gehört in jedem Fall dazu, oder nenne mir nur einen Router oder eine vernünftige Website, bei der das nicht der Fall ist. Wenn also solche Regeln nicht eingehalten werden, werden ggf. andere Regeln, wie z.B. Neueste Sicherheitspatches im Betriebssystem der Box auch nicht überprüft. Ein weiteres Beispiel ist, dass man bei der CB beim Passwort keine Sonderzeichen wie einen Punkt verwenden darf. Ich finde das lässt tief blicken, wie die inneren Sicherheitsmechanismen implementiert sind.
2017-06-01T06:44:01Z
  • Donnerstag, 01.06.2017 um 08:44 Uhr
Ach so, so wie die offenen 7547er Ports bei der Telekom, wo dann die Passwortkryptographie ja auch toll nützt. Und wie viele Speedports und Fritzboxen sind wohl immer noch mit Werks-SSIDs und -Passwörtern (die sich dann von jedem Teenie mit ner frei erhältlichen Android App errechnen lassen) unterwegs? Und Microsoft SDL ist ja das Oxymoron schlechthin: Windows, wo jeder Honk standardmäßig mit permanenten Adminrechten unterwegs ist. LOL!
Sicher, wer die CB auspackt, anschließt und nie wieder anpackt oder versucht zu konfigurieren ist auch mit WerksSSID und Passwort unterwegs. Aber sobald ich mich auf die CB einloggen will, MUSS ich das ändern. Die Benutzerführung ist dabei eindeutig und die erzwungene Mindestzeichenzahl, Groß/Kleinschreibung plus Ziffer ergeben einen sehr sehr hohen Sicherheitslevel sowohl des Admin- als auch der WLAN Passwörter. Da kann ich aber bei Fritz und Co deutlich einfachere, kürzere und unsichere Passwörter vergeben ohne dass mich jemand hindert. Dass der Nutzer dass dann in Klartext sehen kann, hilft dann doch eher, dass er sich nicht selber aussperrt und den Umweg über den Reset gehen muss. Was im übrigen ohnehin jeder mit physischem Zugriff auf jeden Router machen kann.
Sich an der Klartextdarstellung aufzugeilen, aber zu übersehen, was UM mit der CB alles richtig (bzw. besser) macht, ist einfach nur lächerlich.
2017-06-01T19:30:30Z
  • Donnerstag, 01.06.2017 um 21:30 Uhr
Nur kurzer Tipp am Rande. Microsoft hat den SDL nicht erfunden.