Auch wenn der Thread schon ein paar Tage alt ist, will ich hierzu noch was beitragen. Der m0rphU hat mich freundlicherweise auf die Änderung am Webinterface und diese Diskussion hier hingewiesen.
Zunächst mal will ich zwei Dinge sehr positiv hervorheben, die hier noch gar nicht genannt sind: Zum einen ist auch die HTTP Authentifizierung jetzt standardmäßig eingeschaltet, und zum anderen ist die Anmeldung mit leerem Kennwort nicht mehr möglich. Das beides finde ich sehr gut!
Zu den beiden anderen Optionen habe ich ehrlich nicht verstanden, was die bringen sollen. Wenn eine Box ohne Passwortschutz übers Internet erreichbar ist, dann wird es einen potentiellen Angreifer kaum ausbremsen, dass er seine Requests als POST schicken und sich per /web/session von der Box erstmal eine Session-ID für seinen Angriff geben muss. Wie das geht, kann er wunderbar nachlesen.
Okay, die beiden Optionen sollen vor CSRF-Attacken schützen. Aha. CSRF bedeutet, dass jemand eine bestehende Anmeldung an der Box von einer fremden Seite aus kapert.
Das Szenario muss ich mir so vorstellen: Ich hab meine Box mit einem sicheren Kennwort geschützt, das der Angreifer nicht rauskriegt, deshalb versucht er CSRF.
Ich bin also mit meinem Browser am Webinterface der Box angemeldet, was ich ja durchaus einmal im Monat mache, oder einmal alle zwei Monate. Und anschließend wechsle ich ohne den Browser zu beenden ganz zufällig auf eine vom Angreifer kompromittierte Webseite. Und der Angreifer muss genau die IP Adresse meiner Box kennen und in seine Seite eingebaut haben, zum Beispiel in ein manipuliertes <img> oder in ein JavaScript. Na das ist ja mal naheliegend.
Aber ich bin schlau gewesen und habe die beiden Sicherheitsoptionen aktiviert. Und die bewirken, dass das mit dem <img> schon mal gar nicht geht, und das JavaScript ne Ecke komplizierter ausfallen muss. Den der Angreifer müsste erst /web/session absetzen und dann die Session-ID aus dem XML holen und so viel Aufwand schreckt den Angreifer bestimmt ab...
So richtig glauben kann ich das nicht. Was ich weiß ist, dass der Zusatz „may break clients“ getrost geändert werden kann in „will definitely break many clients“.
Es ist halt ein heiden Aufwand, das nachzuziehen, aber einen praktischen Mehrwert oder Nutzen bringt es nicht. Aber Scherereien bringt es ganz sicher. Daher meine eindringliche Bitte, über die Defaulteinstellung dieser beiden Optionen bitte doch noch mal nachzudenken!
Aber nochmal: Man kann den Leuten gar nicht genug in den Hintern treten, dass sie Authentifizierung einschalten und ordentliche Kennwörter verwenden müssen. Den Teil finde ich gut!