Waren wohl doch ein paar Jährchen mehr (08.04.2009):
Vollkommen andere Baustelle, von AVM beseitigt (über das Ergebnis kann man vielleicht noch geteilter Meinung sein, wenn SIDs immer noch im LAN abgegriffen werden können) und eindeutig (? - ist halt m.M.) besser als der HTTP-Zugriff auf LAN-Seite mit "basic auth", wo dann Username und Password gleich im Klartext "über den Draht" gehen und von MITM-Angriffen (ettercap könnte das z.B.) noch einfacher abgefangen werden können ... wie es bei anderen Geräten häufig genug der Fall ist.
Cookie-basierte Verfahren mit Sessions sind am Ende auch nicht viel sicherer; nicht mal bei HTTPS, wie wir seit Poodle wissen, von der neu aufflammenden Debatte der fehlenden Authentifizierung bei Cookies mal ganz abgesehen.
Wenn AVM auch noch die - im BSI-Entwurf für "sichere Router" noch optionale - Empfehlung für HTTPS auf LAN-Seite umsetzt, wird es noch sicherer bzw. schwieriger für Angreifer. Aber schon das SID-Verfahren erfordert eben einen zeitnahen Angriff mit einer erbeuteten SID, bei Username/Password steht der Zeitpunkt des Zugriffs im Belieben des Angreifers.
CSRF (wie im Artikel von tecchannel aus 2009) spielte hier auch nur eine Rolle, weil es eben ohne Authentifizierung möglich war, die Kommandos einzuschleusen.
Also ist das (ohne Beweis für das Gegenteil muß man das für bare Münze nehmen) mit der Vorwarnzeit (wie im TV-Beitrag dargestellt) genauso richtig, wie der Einwand von hph im von Dir verlinkten Thread, daß es AVM mit entsprechenden Meldungen bis zu diesem Zeitpunkt eher locker nahm - das deckt sich zumindest mit meiner eigenen "Erfahrung" und den mir vorliegenden E-Mails als Reaktion. Das hat sich erheblich verbessert, die Anzeichen sind hoffentlich für jeden sichtbar (und ich stehe sicherlich nicht im Verdacht, ein "AVM-Jubelperser" zu sein).
Ohne die wäre die Lücke wohl immernoch offen.
Denn erst durch die Veröffentlichung sah sich AVM wohl im Zugzwang.
Und hier bringst Du die zeitlichen Abläufe von Veröffentlichungen (und auch das, was hph selbst geschrieben hat) deutlich durcheinander ... sortiere Dir das mal noch einmal anhand von Internet-Fundstellen, wie da der Ablauf war.
Es gab schon vorher Berichte in der Presse und hph hat nach eigenem Bekunden den Angriff "über Bande" erst auf der Basis des ersten Patches von AVM (den er per RE untersucht hat) an heise.de gemeldet. Zwischen der "Außendarstellung" des Umfangs der Bedrohung seitens AVM und der Realität mag es Differenzen gegeben haben ... die schon begonnene Beseitigung der inzwischen erkannten Lücke war davon nicht betroffen.
Wie wahrscheinlich so ein CSRF-Angriff über eingeschleuste Werbung am Ende ist oder war, spaltet auch immer wieder die Heerschar der Beobachter ... auch ist das bei den Produkten von Konkurrenten merkwürdigerweise alles immer viel relevanter als bei den eigenen und von Seiten Dritter wird ohnehin immer übertrieben, wenn es nach solchen "Rechtfertigungen" geht.
Vielleicht wurde noch der Umfang der Rückportierungen auf ältere Modelle und Firmware-Versionen beeinflußt, wenn man hier einen Handlungsdruck unterstellen will durch die umfangreiche Berichterstattung, aber das wird ohne Kenntnis von AVM-Interna auch nur spekulativ bleiben (auch wenn man sich mit dem gesunden Menschenverstand sicherlich vorstellen kann, wie da Kämpfe zwischen Marketing/Support und Controlling ausgesehen haben könnten, denn die (kurzfristigen) Interessen dürften da nur schwer in Übereinstimmung zu bringen sein).
Also im Sinne des "Amtseides" eines Bundeskanzlers/einer Bundeskanzlerin (damit die Gender-Fans auch zufrieden sind, ggf. die Reihenfolge noch umdrehen): "Gerechtigkeit gegen jedermann" (jederfrau fehlt im offiziellen Text meines Wissens) und dann auch für AVM und die dortigen Mitarbeiter. Berechtigte Kritik muß am Ende eben genau das auch sein, nämlich "berechtigt" und das setzt eine saubere Argumentation (auch im Rückblick) voraus.