Alpengreis wrote: > > Nein, um's eigentliche Abhören geht's mir nicht. Dafür z.B. um > Account-Änderungen auf www.squeezebox.com (weniger schlimm, soll halt > jemand z.B. meine Wecker-Einstellungen ändern, wenn's denn soviel > "Spass" macht). Vorallem aber, wenn SW-Komponenten auf dem Radio > sicherheitsanfällig wären oder auf dem Server (LMS), wäre eine > Manipulation bei unverschlüsselter Verbindung via MITM > (Man-in-the-Middle) doch denkbar und dann auch sehr einfach auszuführen, > oder? Wie weit das Konsequenzen im lokalen Netz haben könnte, darüber > möchte ich vorallem mehr wissen. Dabei wären DoS-Attacken wohl noch das > Harmloseste, könnte ich mir vorstellen. > Klar, sowas ist immer denkbar. Nur hilft Dir da ja SSL auch nicht weiter. Wie soll denn die Box prüfen, ob das Zerti OK ist, wenn sich da ein Middleman mit gefälschtem dazwischen hängt. Du hast ja bei einem Gerät kein aktives Zerti-Management wie beim Browser (mal völlig davon abgesehen, dass ich noch nicht dran glaube, dass das bei modernen Browsern wirklich sicher ist...).
> > Immerhin gibt es ja wieder und wieder verschiedenste SW, bzw. > Komponenten (z.B. DLLs), die Lücken aufweisen. Da weiss ich beim Radio > und LMS praktisch nichts darüber, ob allfällige Lücken schnell gefixt > werden usw. Zwar habe ich Inbound nichts erlaubt, also einfach so auf > den Server kommt man nicht (unsolicted Traffic SOLLTE also nicht möglich > sein), schon gar nicht von ausserhalb des LocalSubnets - trotzdem aber > (eben wegen Manipulation von unverschlüsseltem Traffic) würde mich das > mal interessieren. > > Schlussendlich ist es halt doch ein SERVER, der da läuft. > Nein, es ist nur ein Client. Aber wenn Du dem gefälschte Antworten unterschiebst, wirst Du sicher irgendwas machen können, klar. Ich würde für die Sicherheit da bestimmt auch nicht meine Hand ins Feuer legen, aber die Squeezeboxen sind ja doch eher ein Nischenprodukt, weiß nicht, ob sich da jemand die Mühe macht, das gezielt zu knacken. Vor allem müsste der ja für MIM auch erst mal Deine Kommunikation gezielt abfangen... wenn man sowas macht, findet man meiner Meinung nach meistens auch andere Schwachstellen, face it. Aber ja, sicher ist das ganze null.... --- learn more about iPeng, the iPhone and iPad remote for the Squeezebox and Logitech UE Smart Radio as well as iPeng Party, the free Party-App, at penguinlovesmusic.com *New: iPeng 8, the Universal App for iOS 7 and iOS 8* ------------------------------------------------------------------------ pippin's Profile: http://forums.slimdevices.com/member.php?userid=13777 View this thread: http://forums.slimdevices.com/showthread.php?t=103318
_______________________________________________ slimserver-de mailing list [email protected] http://lists.slimdevices.com/mailman/listinfo/slimserver-de
