Wie sicher ist das XDove Paket?

    Hi,


    leider kann man zum Thema QPKG keine eigene Themen erstellen, denn eigentlich trifft meine Frage auf fast alle QPKG Pakete zu.


    Also, so ein Paket wird ja zumeist immer im Ordner QWeb installiert bzw. gespeichert. Wenn jetzt einer das weiß und auch weiß welche Pakete es gibt kann er ja die Adressen zu den Dateien im Webbrowser eingeben, sofern ich z.B. Joomle fürs Internet freigegeben habe.


    Jetzt kommt derjenige halt nicht nur auf Joomla, sonder auch auf alle anderen Ordner die mit QPKG installiert wurden. Wie sicher ist das? Kann ein Angreifer da eventuell irgendwelche empfindlichen Daten abgreifen? Egal ob jetzt nur XDove oder auch z.B. Ajaxplorer. Aber vor allem würde mich jetzt mal XDove interessieren.


    Gruß, Benny.

    hi


    das ist so nicht korrekt. nur einige web applikationen werden in den qweb ordner installiert, nicht alle qpkg. bei xdove nur teile davon. trotzdem kann nicht jeder darauf zugreifen denn das wird quasi vom webserver gesteuert. sonst hätte ja jeder auf jeden webserver im internet vollzugriff wo z.b. joomla läuft ;)


    wenn eine solche applikation eine sicherheitslücke hat, ist natürlich ein angriff denkbar (wie kürzlich bei typo3 geschehen als schäuble gehackt wurde ^^). wie bei jedem anderen webserver auch. hat aber nix spezifisch mit qpkg zu tun.

    Hi,


    danke für die Antwort! Das es nicht alle sind ist klar und wie viel davon im QWeb installiert wird ist ja nicht für jeden ersichtlich. Das man nicht auf alles nur durch Eingabe im Webbrowser drauf kommt war mir klar bzw. hab ich bei AjaXplorer schon etwas rumprobiert.
    Jedoch würde ich es sinnvoller finden wenn manche Anwendungen nochmals per Passwort oder besser https abgesichert wären, wird an sowas gearbeitet?


    Gruß, Benny.

    naja das hängt von der jeweiligen applikation ab


    gerade z.b. joomla oder ajaxplorer ist einfach das originalpaket wie es sonst auch verfügbar ist, nur die installation ist etwas vereinfacht dadurch dass es in ein QPKG verpackt wurde (mehr macht qnap in diesen beiden fällen nicht). bei einigen - wie ajaxplorer - ist ja eine passwortabfrage vorhanden. und auch bei joomla kommt man nach dem aufsetzen logischerweise nur mit dem dabei gesetzten adminpasswort in die verwaltung.


    als ich xdove auf dem 209er installiert habe, hat es tatsächlich mal nach login/passwort gefragt damit ich überhaupt auf die hauptadmin-website kam mit dem installationsassistenten. auf dem 509er kam diese abfrage merkwürdigerweise aber nie. keine ahnung wieso...


    theoretisch kann man wohl per .htaccess unterordner von qweb selber absichern.


    https für den normalen webserver und sonstige webapplikationen wäre natürlich super (im moment nur für administration und die integrierten funktionen wie z.b. download station möglich), soweit ich weiss wird daran noch gearbeitet für den 3.x firmware release.


    ich vermute mal, wenn man selber den apache 2 webserver auf den TS installiert, könnte man auch https für eigene webapps realisieren (ist jedoch nicht ganz simpel wie's aussieht; und ich schätze die qpkg applikation müsste dazu auch angepasst werden).


    mehr/genaueres weiss ich auch nicht.