Ein Passwort alleine schützt so lange wie es nicht eingegeben wurde. Wenn man also das Webinterface nicht benutzt, dann ist ein gutes Passwort ein ausreichend guter Schutz.
Beiträge von obi
-
-
Bis die Entwickler ihre Apps angepasst haben, hilft wohl nur diese erweiterte Sicherheit abzuschalten und ein gutes Passwort zu verwenden, wenn die Box aus dem Internet erreichbar ist.Es geht bei den Optionen weder darum, ob die Box aus dem Internet zu erreichen ist, noch ob die Box selbst das Internet erreicht. Sie schützen viel mehr vor Angriffen, die über einen Browser ausgeführt werden, der sich auf einem anderen Gerät (z.B. Handy, Tablet, PC) aber im selben Netzwerk wie eine Dreambox befindet.
-
@EgLe
Wie 'MiRoMOMO' schon schrieb, gehören die optionen in die /etc/fstab. Dass es in nfs-server.service eine Wirkung zeigen soll ergibt objektiv betrachtet keinen Sinn. -
Zu b) Hat die Festplatte eine eigene Stromversorgung, oder wird sie über USB versorgt?
-
Ich schätze, ein Eintrag mit den Optionen noauto,x-systemd.automount wäre ideal. Habe es aber noch nicht getestet. Wenn das mit allen Speichermedien ginge, sollten wir das evtl. standardmäßig tun.
-
Sagen wir mal so: Eine Abhängigkeit zu local-fs.target kann nur funktionieren, wenn ein Eintrag in der fstab existiert. Eine zu enigma2.service kann nicht zuverlässig sein, da enigma2 bereits lange bevor es alle Plugins usw. geladen hat aus Sicht von systemd als gestartet gilt. Ein Unterschied zur Festplatte wird sein, dass enigma2 diese derzeit nicht selbst verwaltet.
-
As far as I can tell, you already updated your loader. So don't waste your time trying again.
If you want to update your rescue loader again later, do it from a normal boot (i.e. when enigma2 is running).
-
If you can connect with telnet, your internet connectivity is probably fine. Maybe you disconnected your box from the network while attaching the usb cable.
-
Besteht das eigentliche Problem nicht darin, dass GP33 keinen Eintrag in /etc/fstab gemacht hat?
-
Please just keep the version you already flashed.
-
Bezüglich der des NetworkBrowser-Bugs würde mich interessieren, ob das aktuelle unstable (oder experimental) Abhilfe schafft.
-
Wie der Author des Exploits/Sicherheitsberichts empfiehlt sollte zumindest VPN genutzt werden: http://seclists.org/fulldisclosure/2017/Jan/18Mal noch ein Wort zu diesem Bericht. Wahrscheinlich war es der erste „Exploit“ des Autors und es war sicher aufregend für ihn, ihn zu entdecken. Nun sucht er nach etwas Anerkennung. Dabei hat er einiges übersehen.
1.) Normalerweise kontaktiert man heutzutage den Hersteller, bevor man an fulldisclosure schreibt. Ja, wir sind nicht die Autoren des Plugins, aber die Dreambox wird in dem Bericht mehrmals erwähnt, d.h. wir haben die Konsequenzen zu tragen.
2.) Er vergisst zu erwähnen, dass das webadmin-Plugin manuell installiert werden muss.
3.) Er hat einen Programmierfehler im webadmin entdeckt, der es erlaubte, Shell-Befehle auszuführen, sofern kein Passwort verlangt wurde. Das absurde daran ist, dass das webadmin-Plugin dazu da ist, Shell-Scripts hochzuladen und auszuführen, .deb-Pakete hochzuladen und zu installieren und die Pakete zu verwalten. Objektiv betrachtet ist das Konzept des webadmin-Plugins schon eine Sicherheitslücke an sich.
Nun haben wir etwas Aufwand betrieben, damit man uns nicht nachsagen kann, nichts getan zu haben. Ich denke auch, dass es sinnvolle Änderungen waren, und unter anderem dürfte der Programmierfehler beseitigt worden sein, der zu dem Bericht führte. Leider schränkt es einige Funktionen in den neuen Standard-Einstellungen ein, aber auf lange Sicht dürfte das von Vorteil sein. Es werden vermutlich noch einige Änderungen folgen, aber keine tiefgreifenden.
P.S.: Es stellt sich im Übrigen generell die Frage, wieviele der im Internet öffentlich zugänglichen Dreamboxen keine Honeypots sind. Es dürfte den meisten Besitzern doch ziemlich schnell übel aufstoßen, wenn Fremde oder Suchmaschinen-Bots sich durch das Menü hangeln und Sender wechseln, Timer ändern oder die Box ausschalten.
-
Ups, danke! Wird umgehend behoben.
-
@Edeknut
Hast Du auf Deiner DM7080 ein 2.2er Image oder ein 2.5er? -
Ich hab's etwas ungenau formuliert:
Mit sec=ntlmssp kann man Freigaben von Windows 10 mounten, mit sec=ntlmv2 nicht, jedenfalls in unseren Tests.
Gibt man nichts an, so bekommt man auf der DM900 sec=ntlmssp, bei den anderen Boxen wegen des älteren Kernels sec=ntlmv2.
Eine Lösung, mit der alle Freigaben funktionieren wird folgen.
-
Sollte klappen.
-
Welche Imageversion ist auf der 7020HD?
Ich könnte mir vorstellen, dass diese Änderung der Auslöser ist. Allerdings geht ohne sie die Verbindung zu Windows 10 nicht:
https://github.com/opendreambo…0abddc9f5990ad8535d6a4909 -
Ist bei Tuner A2 "intern verbunden mit A1" eingestellt, sofern nur ein Kabel mit A1 verbunden ist?
-
-