Het lek is pas gedicht als alle routers de nieuwe software hebben geinstalleerd. Kan zo maar wat jaartjes duren.
Zo te zien een soho apparaatje van ca €30. Je mag al blij zijn als de winkelvoorraad aangepast zou worden.

Dat is geen reële suggestie.
Jij koopt in de winkel ook geen verpakking die geopend is en waar de krimpfolie vanaf is.

En al helemaal niet als je vraagt waarom de folie eraf is en de verkoper jou vertelt:
"Oh, er werden binnen 2 weken 2 kwetsbaarheden gevonden door een externe onderzoeker, maar nu is hij veilig hoor."

Daar heb je gelijk in. Dus al die modellen terug in de verpakking naar de fabriek en dan nieuwe er voor in de plaats. Hmmm Vervoer en aanpassen lijkt met te duur, mogen ze meteen de recycling in.

Volgens mij hoeven de gebruikers alleen een bios update te doen toch? Waarom terug naar de winkel dan?

Karma4,
Firmware updaten is en blijft een verantwoordelijkheid van de koper.
Dat zou iedereen nu toch wel eens moeten weten.

Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.

Als koper moet je er altijd vanuit gaan dat de software van gekochte apparaten inmiddels verouderd is. Standaard laat ik de installatiesoftware ook altijd in de doos zitten en ga naar de website van de fabrikant en haal daar de nieuwste versie op.

Dan had ik die Windows DVD helemaal niet uit de folie hoeven te halen. ;)

Met automatisch update heb je boel weliswaar bij de fabrikant gelegd, nadeel: was als de fabrikant gehacked wordt?
Niet automatisch, dan moeten Henk en Ingrid het kunnen afhandelen, een te hoge verwachting .

Best wel treurig dat je er standaard vanuit kan gaan dat al je apparatuur lek is en dat veiligheidsdiensten en schimmige bedrijven met grote budgetten vaak eerder de lekken kennen en kunnen misbruiken dan dat beveiligingsonderzoekers (met lagere budgetten) ze vinden. Laatst was Netgear ook al flink aan de beurt.. https://www.vpngids.nl/nieuws/beveiligingslek-netgear-routers/

Als de fabrikant gehackt wordt ben je klaar, ongeacht welk apparaat of software het over gaat.
Henk en Ingrid mogen verwachten dat als ze een apparaat kopen dat dit automatisch up to date gehouden wordt. Het is een consumenten router.

De huidige praktijk is dat elk huishouden eigenlijk iemand moet hebben die een beetje verstand van zaken heeft.

Ja, wat als.
Zo kan je elke discussie wel naar je hand zetten, als de fabrikant, of haar toeleveranciers, of je provider, Nederland, of het internet, of je devices of je router of zelfs je pacemaker gehackt wordt?
Ja dan heb je pech maar het is geen redelijk argument tegen het principe standaard instellingen zo te zetten dat een apparaat bij aansluiten direct op zoek gaat naar updates.

Henk en Ingrid zijn een politiek duo en hebben geen betekenis in deze context.
Want in tegenstelling tot wat je suggereert hoeven Henk en Ingrid niet per definitie dom te zijn, of nalatig, of technisch niet onderlegd en de gemiddelde burgers vertegenwoordigen ze ook al niet.
Wat als de pvv aanhang massaal (Henk en Ingrid dus) wordt gehackt?
Ja dan verandert misschien het politieke landschap in de beide vertegenwoordigende kamers wel.
Maar of dat een reële zorg is binnen deze discussie, dacht het niet.

Dit soort argumenten opvoeren is discussiëren om het discussiëren, dat schiet niet op.
As is verbrande turf zei men vroeger, dat is ruim voordat Henk en Ingrid ten tonele verschenen en nog steeds een waarheid als een koe.

Oh, jij gaat alle updates zelf vooraf controleren voordat je ze installeerd?
Het enige verschil tussen automatisch en handmatig is het tijdstip van installatie, jij bent er voorstander van dat e.e.a. snel gepatched wordt getuige je eerste opmerking.

Karma4, ik snap echt geen reet meer van jouw argumenten en tegen argumenten op je eigen argumenten,

Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,
en kunnen nu de nieuwe firmware update voor hun WR940N niet downloaden van de TP-link website!

Het zou zo te zien moeten lopen via het akamai distributienetwerk, maar akamai doet blijkbaar niet veel 'blablabla' met Tor.

Scherp opgemerkt:

www.tp-link.com uses an invalid security certificate. The certificate is only valid for the following names: *.akamaized.net, *.akamaihd-staging.net, *.akamaized-staging.net, *.akamaihd.net, a248.e.akamai.net

Hat gaat er om keuzes te maken.
1/ Thuis soho
Als we voor thuisgebruik accepteren dat de leverancier gehackt kan worden. Dan is dat het te accepteren risico. Lijkt me een prima keus onder de voorwaarde dat de impact te overzien valt. Ja ik ben daar voorstander van.

2/ Enterprise
In een meer kritische omgeving (infrastructuur, privacy gevoelige gegevens) en juist die plekken waar het er echt toe doet beslist niet alles open en bloot naar externe dienstverleners en ook niet zo maar upgraden. Alles gecontroleerd en overwogen naar het risico en de impact.
Als een bedrijf voor extern gasgebruik zonder enige verbinding directe met het bedrijfsnetwerk wat van dat spul opgeteld heeft dan is dat een aparte risico klasse wat zo dan weer mag.

....
Ik reageerde op de opmerking in het artikel dat het probleem opgelost was want de fabrikant heeft de software aangepast. Met het heen en weer draaien probeerde ik te onderbouwen dat over alle al gemaakte apparaten niets gezegd is.

Ja en nee. Dit heeft in elk geval niets met Tor-browser te maken. Ze gebruiken gewoon een fout certificaat waar alle browsers over horen te klagen. En volgens mij zullen ze dat ook allemaal doen als je bovenstaande patch-link aanklikt of überhaupt hun website via https benadert. Zo niet, stoppen met je browser.

Toevoeging: Dezelfde https link staat in het blog van de onderzoeker. Vreemd dat noch hij, noch de redactie opgevallen is dat die link van een foutief certificaat voorzien is. Zeker van de onderzoeker had ik dan op zijn minst een sterretje met commentaar bij die link verwacht.

Niks nieuws, regeringen willen graag controle houden over het volk. Dat systeem is bijna zou oud als de mensheid. Vroeger deden ze dat door het volk dom te houden, nu misbruiken ze elektronica en computers.

Je TROLLT
Henk en ingrid zijn een uitvindsel van de pvv en de pvv stemde voor de tapwet en die schendt je privacy.
Daaruit kan je best concluderen dat de pvv en aanhang niets heeft met privacy en dus niets met Torbrowser.

Wie wel tegen de WiV wet was was het forum voor democratie, die partij met een grote online aanhanng. De geen stylers waren verklaard tegenstander van de wet.
Alleen, henk en ingrid zijn NIET van het forum van democratie en stijllozen maar een uitvindsel van de pvv. De namen zijn hier misplaatst gebruikt door een kennelijke propageerder van de pvv en jij trapte erin met een onzinnig fout voorbeeld als gevolg.

Waar kwam die info vandaan, bijvoorbeeld hier : https://www.volkskrant.nl/kijkverder/2017/sleepnet/

Akamai en Cloudflare hebben filters die je zelf kan instellen, veel afnemers van die diensten doen niets of schuiven de schuif maar dom omhoog tot maximaal blokkeren.

Maar als ik de "(www.)tp-link.com" link bezoek zie ik helemaal geen ssl verbinding, dus ook geen certificaat. Maak niet uit via welke exitnode in welk land, tp link past wel op diverse manieren haar url aan naar countrycode maar schotelt geen slotjes voor (oa tp-link.com/download-center.html).
Geen certificaat, geen last ook van Cloudflare of Akamai blokkades, en ook geen redirect naar een onjuist geconfigureerde ssl variant van deze website.
Er bestaat inderdaad een https versie maar daar kom je dus niet zomaar omdat er geen redirect plaatsvindt en je standaard op de http variant belandt als je tp-link.com in je url bar paste.

Terug naar HTTP, een firmware update binnenhalen over een onbeveiligde verbinding is geen goed idee, dus ook niet via Torbrowser.
Maar waarom zou je dat via de browser doen, dat kan je router toch gewoon zelf direct?
Misschien ben je in de war en dacht je dat het een goede privacy optie is om via Torbrowser in te loggen op je modem?
Hoeft niet, het proces van lokaal inloggen op je modem is een lokale connectie, die connectie loopt niet via het internet.
Gebruik van Torbrowser om op je modem in te loggen voegt niets toe, als het al kan.

Kortom, getroll met gezwam om onnodige discussie over Torbrowser uit te lokken.
Het is wel raak de laatste tijd met dat geklier.

Ach het gebrek van https is nog wel te overzien als er maar checksum zijn... euh.. tp-link.. waar zijn de checksums?

Misschien een idee voor een 'extra' nieuwsbericht: "Security.nl lezers ontdekken meerdere ernstige lekken in de TP-Link supportsite. Geen van de te downloaden firmwares zijn te vertrouwen." Zonde van dat snelle patchwerk, als ik daarna niet zeker kan stellen dat wat ik download ook echt daadwerkelijk van TP-Link afkomstig is.

(Sorry dat ik nu zo loop te zuigen, ik vind TP-Link echt wel een sympathieke underdog, maar uit dit soort dingen blijkt toch nog wel de onvolwassenheid.)

Andere anoniem hier. Neem het niet zo hoog op, Henk en Ingrid werden genoemd als typering van doorsnee mensen van wie je niet teveel computerkennis moet verwachten, en iemand geeft daar een draai aan. Ze hadden het niet over politieke partijen en waar die voor staan.

Uiteindelijk zijn Henk en Ingrid eeuwenoude namen die door niemand die nu nog in leven is uit zijn gevonden. Er zijn ongetwijfeld diverse stellen die echt zo heten in Nederland. Niemand heeft het alleenrecht erop.

Als je Akamai kent als een Cloudservice/CDN dan herken je het certificaat ook wel ongeveer.
Dat komt doordat ze niet zomaar andermans certificaat correct kunnen showen zonder gebruik te maken van de geheime sleutel. Cloudflare haalt daar een vervaarlijke truuk mee uit, en we kunnen alleen maar "blij" zijn dat Akamai dit blijkbaar niet doet. Nadeel is dan wel dat je dus een certificaat van Akamai krijgt voor geschoteld, en niet van TP-link, want het juiste certificaat van TP-link kunnen ze niet showen, net zoals iedere MITM niet zondermeer een willekeurig certificaat kan showen van de website die hij (vals) probeert te vertegenwoordigen.

Het ware probleem is dan ook dat wanneer je een uitzondering ("exception") maakt in je Torbrowser dit opnieuw stuk loopt. Je krijgt na het maken van een "exception" en vervolgens "confirm" de vogende foutmelding:
met daaronder alleen een referentienummer eronder en verder helemaal niets.

Je kunt TP-link dus totaal niet via Tor-browser en https bereiken.
Http heb ik niet geprobeerd. Lijkt me ook niet aan te bevelen.

In de firmware van de Synology routers SRM 1.1.5-6542-3 is dit opgelost.