Názory k článku
Německý úřad vydal pravidla bezpečnosti pro domácí a SOHO routery

"musia mat moznost nainstalovat alternativny softver na ich zariadenia, aby mali moznost opravit bezpecnostne chyby aj po tom, ako sa skonci oficialna podpora od vyrobcu"

:-))))))))))))))))
Lol
Ešte dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware by si nechcel ?

Při stanovování ceny je zohledněno i to, jak dlouho uživateli router vydrží.

"dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware" - este pred 30 rokmi to bolo normalne, preco by sme sa k tomu nemohli vratit. Nikde nie je napisane, ze pravo vyrobcu na svoje IP, patenty a vyrobne tajomstva musi byt nadradene pravam zakaznika na informacie o produkte, ktory si zakupili, pravo na nezavisly servis ci upravy. Mimochodom aj z ekologickeho hladiska je vyhodnejsie, ak tak krabicka funguje 6-10 rokov namiesto 2-3..

Z ekologickyho hlediska je mnohem lepsi, kdyz budes jezdit 30let starym naftakem a lejt do toho vyjetej fritak, nez kdyz si koupis nejnovejsi model elektromobilu. Protoze zatez vygenerovana vyrobou toho novyho auta je mnohem vyssi. Coz ale malo kdo z ekologistu chce slyset. Navic z toho auta zbude neco gumy, neco plastu, a ocel, kdezto z toho alektromobilu jeste +- 500kg toxickyho odpadu z akumulatoru (to teda kdyz ho zahodis po 3 letech, jinak vyrazne vic)

Zátěž vyprodukovaných skl. plynů u je u VÝROBY elektromobilu o něci vyšší než u výroby spalovacího auta. Proti tomu co oboje projezdí v provozu to jsou poněkud směšné tahanice.

Jaks přišel na ty 3 roky? Toyota na baterky dává záruku 8 let nebo 400.000km (podle toho co dřív).

" Ešte dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware by si nechcel ?"

Já bych tyhle věci chtěl.

To je hezke, ale... priprava dokumentace pro zakaznika neco stoji. Pokud mam dokumentaci k nejakemu vyrobku v nejakem dokumentacnim systemu ve firme, neznamena to automaticky ze to jde snadno vyexportovat do PDF. Tech systemu ve firme muze byt xx ktere obsahuji ruzne casti te dokumentace, takze priprava te dokumentace muze klidne stat xxx hodin prace. Kam s tim PDF? Nekam na web, mozna vytisknout a pribalit k vyrobku. Tudiz misto na webu, traffic neco stoji, tisk taky neco stoji. Kdo to zaplati? Spotrebitel si rekne ze tohle vse chce a je ochoten za to zaplatit treba 50% navyseni ceny produktu? To urcite, na to sere bilej tesak, spotrebitel si koupi obvykle levnou variantu klidne z Ciny. Hezky priklad jsou IP kamery - axis vs cinske sracky. Axis nabizi dokumentaci, podporu, ma odtestovane produkty, presto kdyz se treba i tady nekdo na rootu zepta na IP kamery kazdy nabizi cinske sracky bez podpory, s nejakym cripled activx/java/wha­teverrandom interfejsem. A proc to lidi kupuji? Protoze je to levne. Router servisni manual obvykle nema, proste se neopravuje, pracka nebo neco drazsiho servisni manual ma a tam nevidim duvod proc by ho spotrebitel nemohl dostat (stejne jako servis za poplatek).

Nestojí nic, OSS systém je na vývoj mnohem levnější a tam ho stejně musíš zveřejnit tak jako tak. A export osazováku + schématu do PDF je záležitost pár minut.

Software bez možnosti exportu do PDF (ani třeba jako virtuální tiskárna)? To jsem už dlouho neviděl, to musí být ale efektivní vývoj :-P . Každopádně proč vůbec do nečeho exportovat, klidně můžou rovnou uploadovat samotné zdrojové soubory.

Klidně na web. Stejně tam budou mít uživatelský manuál a IMO naprosto zbytečný product brief dokumenty. Nebo si můžou vzít příklad z openhw projektů a uploadovat HDL na github.

ja bych tohle chtel. ostatne byly doby, kdy s nakupem zarizeni dostal clovek i schema. dnes by to bylo mnohem jednoduzsi, stacilo by to mit ke stazeni nekde na webu.

To první jsem tam viděl. Spíš mě ale překvapilo, že je tam explicitně zmíněná povinnost mít tam DHCP. To snad někdo nemá?

Možná pro jistotu. Já roky bral jak naprostou samozřejmost, že si v DHCP serveru i té nejlevnější krabičky za 350 Kč vyrobené v posledních patnácti letech můžu nastavit DHCP rezervaci, než jsem si koupil WiFi router od UPC za dva tisíce něco.

Několikrát jsem prolezl veškeré položky nastavení, přečetl návod, prolezl diskusní fóra, pak kontaktoval i UPC a jediné, co mi byli schopni doporučit, bylo nastavit maximální délku platnosti zapůjčené adresy, na zařízení si danou adresu nastavit staticky na požadovanou hodnotu, pak to přepnout zpět do DHCP a pak že mi to ten krám bude takhle přidělovat do příštího restartu.

Chápu, tohle je fakt nechutný. Deaktivat lze jejich DHCP komplet? Pokud ano, investuj do RPi a nainstaluj si DHCP server svůj, přidej bind9 pro DNS. Pokud budeš potřebovat help. Odepiš. Řešil jsem před dvěma roky, z důvodu většího počtu virtuálek.

Dík, ale ono to je trošku složitější. U jedné části sítě potřebuji aby prostě fungovala a kdybych náhodou nebyl poblíž, aby se to rozjelo po vypnutí/zapnutí jedné krabičky, případně po zavolání na operátora. Když do toho začnu cpát DHCP/DNS server někde jinde, je to slabé místo. Uvažoval jsem i o tomhle.

Vyřešil jsem to nakonec docela svérázně, ale funguje to. Modem od UPC se spuštěným DHCP v nějaké úzkém rozsahu adres, na který se připojují nějaké telefony/tablet/po­čítače, které mě až tak nezajímají. Pak mám skrze Mikrotik udělaný bridge do druhé části sítě, když už mě to zajímá. Na tom Mikrotiku mi běží další DHCP server, který přiděluje adresy pod stejnou Cečkovou maskou, ale v jiném rozsahu. Aby ty dva DHCP nedělaly paseku, tak na tom Mikrotiku na firewallu zahazují packety DHCP, aby to neprošlo z jedné částí do druhé. Na tom mi pak běží i nějaký IPsec a další věci. Chtěl jsem aby se všechna zařízení navzájem viděla.

Já jsem si nestěžoval na to, že to ten modem neumí a já si neumím poradit. Vadí mi to, že to ten modem prostě neumí, protože spousta lidí nic víc nepotřebuje a další krabička je další zbytečný elektrospotřebič navíc.

Tak za sebe, zařízení od ISP maximálně jako modem do bridge a pořešit to ve vlastní režii na něčem použitelným (= Mikrotik nebo OpenWRT). Oni totiž nepotřebují cokoliv deklarovat zákazníkovi, prostě mu to dají v ceně nebo za pár drobáků proti podpisu smlouvy na dva roky. Ti větší mají ještě tu drzost, že si nechají výrobcem upravit firmware a i kdyby nakrásně byl k dispozici nový FW pro "veřejně dostupnou verzi", nikdo nezaručí, že ji updater toho upravenýho FW bude akceptovat.

Nehledě na to, že hodně věcí udělat nejde a když jsem viděl u modelu z roku 2016 ovládací web ve Flashi... :Q

Ne, že bych si na tom nějak zakládal, ale teď fakt netuším, zda mám dát „like“ za názor, se kterým souhlasím, nebo „dislike“ za to, jak se mi zvedl kufr z „...u modelu z roku 2016 ovládací web ve Flashi“ :D.

Router od UPC lze používat pouze v módu obalit alobalem a nastavit jej jako bridge. Potom je možné dát za tu srágoru nějaký pořádný firewall jako pfsense a podobně. Následně z firewallu navázat spojení do anonymizační VPN. Jiná konfigurace z pohledu bezpečnosti není možná. Jejich Wifi, která k vám dělá díru do sítě, nastavení vzdáleného přístupu na router chráněného 6 čísly, jejich dopočitatelné heslo z SSID, sledování síťového toku (dané zákonem) atd.....

"sledování síťového toku (dané zákonem) atd....."
A ve skutecnosti ilegalni, protoze v rozporu s nadrizenym unijnim zakonem.

Ad 1) Žádnou podporu negarantujeme, ale stojíme zlomek toho, co ti, kteří ji garantují.
Ad 2) Výrobci tiskáren nesmí bránit uživatelům v doplňování cartridgí neoriginální barvou.

Chceš to mít odstupňovaný. Chceš aby existovaly i levný routery s nálepkou, kterou dostanou za to, že aspoň nejsou jako cedník už z výroby.

Jenomže tu nálepku potřebuješ jen jako vědomostmi zcela nepolíbený. A, jak se tady mnozí zvládnou pravidelně rozohnit, takový na to nemá co hrabat, a má si zaplatit eckperta. Takže vlastně žádná nálepka potřeba vůbec není, protože máme přece certifikovaný cech odborně superdisponovaných rootů, který ti za patřičný kulantní obolus udělá, co ti na očích uvidí. Jen teda nevím, co se bude dít, když budeš mít v očích čirý děs...

Vzpomeň si na minulej tejden. Existujou SSD s nálepkou "HW AES šifrování", který ho implementujou v lepším případě blbě, v horším vůbec. Je to nálepka, která je tam proto, abys jí jakožto zákazník mohl věřit. Přesto se tady našla spousta takových, kteří za fušeřinu výrobců kladli vinu na zákazníka, protože jím byl MicroSoft, který spoléhal na pravdivost nálepky a použil režim, který z principu měl být pro zákazníka nejlepší, a argumentovali tím, že zákazník nesmí věřit a musí prověřit.
Tak mi popiš, jak zákazník - laik, důvěřující nálepce "bezpečný router", prověří že si nekoupil sráč od fušera a podvodníka.

Kupka:
Myslíte to dobře, ale řešíte špatně:
K 1. Je-li součástí výrobku firmware, měl by též podléhat záruce, tj. v Evropě nejméně 2 roky. Hotovo.
K 2. Alternativní firmware koncepčně nic neřeší, negarantuje, dokonce ani nemusí existovat, takže zabývat se jeho náhradou je přinejmenším sporné. Koncepčním řešením je bod 1.

To mi připomíná todle tu nálepku "ověřená firma", firma dala 2 litry, dostala nálepku a tím to skončilo.
Tydle pravidla se dají obějít tím, že se papírově ten router po 2 letech (třeba) prohlásí za až moc příliš zastaralý a nebezpečný (musí se to samozřejmě prokázat), jehož chyby se nedají opravit přes sw.

Občas neškodí si nejdřív přečíst odkazovaný dokument a až poté napsat příspěvek.

Ono Slovaci a Cesi z tej Ciny dovezu cokolvek a zaruka ziadna, ale Nemci ti su pedanti, nemaju tam bordel, ale drezuru a toto tu asi niektorym u nas chyba ;-)

No, problém je, že jakmile na něco vydáš papír se štemplem, tak 1) nikdo nehne prstem víc než jak jsi předepsal, a 2) až tohle minimum někdo louskne, odskáče to ten, kdo to podepsal.
Blbý je, že to nemá univerzální řešení; Pepa Jouda z Horní Dolní chce ušetřit, ale už mu nevysvětlíš že ze cenu krabičky na mejdlo dostane jen dva keystony propojený přímým kouskem UTPčka. O to víc bude po průseru řvát, že chce někoho vidět viset. A ty, jelikož o tom něco víš, sice nemáš problém si připlatit, ale je vás takových dost aby příprava pořádnýho zařízení dávala ekonomický smysl?

Pro tebe platí to samý jako pro předřečníka. Přečti si laskavě ten dokument.

U spousty výrobců by to oproti současnýmu stavu byl obrovskej posun dopředu, a ten zbytek rozhodně nezačne mršit firmware jen proto, že může.
Kdyby se stejně napsaný dokument objevil i pro zbytek IOT světa, a zákazníky někdo přesvědčil, že tuhle samolepku chtějí, problém s hacknutým IOT by to prakticky zlikvidovalo.

Ale to já nerozporuju. Jen prezentuju, jak už teď vidím, že to dopadne.

"problém s hacknutým IOT by to prakticky zlikvidovalo"
Nic ve zlém, ale to je nainvní a hlavně slabozraké. Je to jen samolepka s pravidly (které ovšem nikdo nepřekontroluje jak jest dobrým zvykem) a vždy tu bude možnost hacknutí. Svět bez hacků/útoků je jen pohou ideou, která se nikdy nenaplní, ale dá se na nějaké úrovni zvládnout a touto cestou to rozhodně není.

Hele, videls nekdy realnej svet kolem sebe nebo zijes zalezlej ve svym kutlochu a okoli kontaktujes vyhradne pres konektor svy sitovky? Mam tu stovky, co stovky TISICE produktu, a KAZDEJ ma nejakou certifikaci, vetsina z nich i nekolik, nektery i desitky nebo stovky certifikaci ... a VSECHNO to sou jen cary papiru, pripadne loga na obalu.

Protoze kdyz to vemes a realne to zmeris, tak je to uplne o necem jinym. Ostatne, bez si premerit spotrebu auta, a pak se podivej, co ma napsany v technicaku - coz je dokonce pekne kulatym razitkem a statem potvrzeny lejstro.

Tohle bude presne totez.

jinak je to nebetycna kokotina ....
Only DNS, HTTP, HTTPS ... jako fakt, http?
DHCPv6, and ICMPv6 ... jasne, takze ipv6 nam fungovat nebude, protze RA na tom bezet nesmi ... chmm.

The Extended Service Set Identifier (ESSID) should not contain information that is derived from the router itself
... jasne, ono se to totiz neda poznat z ... MAC adresy (a spousty dalsich veci pochopitelne).

must support the WPA2 protocol, and use it by default.
.. neni to nahodou to wpa2 ktery je prolomitelny behem cca 10 minut ?

WiFi passwords should have a length of 20 digits or more.
..lol ... chci videt jak tohle nekdo nekam opisuje ...

The router must allow any authenticated user to change this password
Jasne, takze kazdej navstevnik kterej dostane heslo k wifi ... ho muze i zmenit, no to potes koste

The procedure of changing the WiFi password should not show a password strength meter or force users to use special characters ...
... jo to je jeste lepsi, dame tam 20 jednicek ...

Password-based authentication MUST be protected against brute force attacks.
... tak to bude teprve krasa, aneb jak navzdy snadno a rychle DOSnout kazdou krabku.

The router must users about an out-of-date or end-of-life firmware
... rek bych ze tam chybi inform, takze to bude pekne bonzovat vyrobci co kde kdo ma ...(a end-of-life tam bude svitit uz v dobe nakupu)

must keep and display a last login log
... jasne, takze to CFko co tam nekde je chcipne uz po 1/2 roce.

a na to jsi prisel kde? Typicky Nemec dostane router od sveho poskytovatele a nic neresi. A pokud ma chut neco resit tak si vybere to co chce.

BTW víš jak v SRN hotely řeší zákonný nařízení, že musí evidovat přístupy k hotelový wifi? Jednoduše. Na pokoji máš na zdi přinejtovanou ceduli s loginem+heslem do clickwallu (a v hotelích kde jsem bydlel opakovaně to bylo vždycky stejný pro celou budovu), a číslo osobního dokladu si opisujou při checkinu. Na nějakou vazbu mezi identitou a IP všichni serou. Komu ONI a kdy dali přihlášení evidovaný mají, ale že to svítí až do kavárny přes ulici a že hosti můžou přihlášení vylepit na facebook nebo kamkoli jinam už není jejich problém.

Přitom původní záměr toho zákona evidentně byl, aby každej host dostal svoje jednorázový přihlášení platný jen po dobu pobytu, aby případnej cestující zmetek zneužívající hotelovou wifinu byl ztotožnitelnej. Ale je to napsaný tak vágně, že na funkční řešení ve výsledku prakticky všichni, kvůli nákladům a nedostatku lidí to schopnejch nastavit, rezignovali. Jedinej skutečněj efekt to má ten, že v Německu nazavadíš o veřejnou wifinu, kterou bys mohl suplovat mobilní data, takže buď platíš, nebo neustále somruješ po podnicích. Komický je, že jsem nikdy nenarazil na síť s WPA2, všechno jelo na WEPu nebo úplně bez šifrování a jedinou ochranou byl clickwall.

Mno, při přístupu z opačné strany by to na druhou stranu fungovat mohlo. Jenomže to by se tou příručkou nesměli čistě formálně (viz průser se šifrováním SSD od Samsungu a Crucialu, kde to napsali na krabici a nastavili flagy, ale skutek utek) řídit výrobci (přeprodejci OEM), nýbrž v první řadě zákazníci.

Modelovej příklad:
- přijdu do krámu
- kváknu že chci router
- dostanu do jedný ruky checklist toho co si mám pohlídat, a do druhý tabulku routerů s fajfkama / křížkama, co z checklistu kterej a jak řeší / neřeší
- podle toho si vyberu, kterej mi vyhovuje
- když o něčem nebudu vědět co to znamená nebo jestli to potřebuju, tak se na to zeptám nebo vygooglím
- během pár minut vypadne úzká množina vyhovujících routerů, v ideálním případě o nenulovém & jednociferném počtu prvků
- v tom případě vybírám podle peněženky a svědomí
- platím, odcházím, zapojuju, nastavuju, funguju, a nemám problém

Jenomže tam už během psaní vidím zásadní slabiny:
1) zákazník nesmí být lhostejný mimoň
2) prodejce musí informace o zařízeních v nabídce mít & chtít poskytnout
3) zákazník nesmí být líný v případě potřeby zvednout hýždě a jít jinam.

4) informace dle bodu 2) MUSEJÍ být PRAVDIVÉ a někdo je musí GARANTOVAT (tedy nést rizika, což si nechá zaplatit)

Nebo ze zákona to musí garantovat prodejce, pokud neprokáže, že tuhle informaci dostal od dovozce/výrobce. Pak se zodpovědnost dostane blíž ke lháři. A zaplacený to dostanou z marže.

A jak to vyřeší tvůj problém jakožto zákazníka, poté co ti někdo zlikvidoval firmu na níž byly existenčně závislí zaměstnanci, o tvojí rodině nemluvě? Prodejce doloží, že mu distributor předložil prohlášení výrobce, který se ovšem nezakládalo na pravdě, ale byla to firma nastrčená čínskou vládou.
Co s tím budeš dělat? Soudit se s Evroskou Komisí? Nebo s čínskou vládou? Nebo si spíš půjdeš hodit mašli?

Spíš než tahle snaha by bylo lepší, kdyby ze zákona
- se záruka vztahovala i na chyby ve firmware s povinností jejich odstranění
- výrobce nebo dovozce musel provozovat bug trace systém a tiket musel povinně pod hrozbou pokuty vyřešit do 30 dní, odkaz na hlášení bugu v dokumentaci a na štítku přístroje
- a odpověď by byla veřejná, aby potenciální zákazníci viděli, s kým mají tu čest

Myslíš OEM výrobce jednotlivých komponent a úseků kódu, který sedí někde uprostřed Číny a nepříčetně se ti řehtá? nebo ještě líp, výrobce - právnická osoba, v době provalu dávno neexistující a se zametenými stopami?

Zaruka se samozrejme ze zakona vztahuje na vsechny vady, ale co s tim jako chces delat. Prodejce ti tak maximalne vrati prachy a muzes si koupit jinou deravou krabku.

Nehlede na to, ze ty se jako typicky BFU nikdy ani nedovis, ze tam nejaka vada je.