Frage zu SSL

    Ob es ein Bug ist, ist scher zu sagen.
    Es ist auf jeden Fall eine Fehlfunktion, die die Sicherheit von kennwortgeschützten Freigabelinks in Frage stellt.
    Vielleicht wäre eine Info an Qnap hilfreich.

    Ich denke am einfachsten wäre es, wenn man ihnen das Problem zeigen könnte. Nutzen die Herschaften Teamviewer und schauen sich bei Ihren Kunden auch mal was an?


    Wenn ich so darüber nachdenke, fehlt eigentlich soetwas wie eine Umleitung zurück auf den Ursprünglichen Link, falls keine Passwort eingabe Erfolgt ist.


    Ich versuch das mal Schrittweise zu beschreiben.


    1. Erzeugung des Freigabe Links im QNAP
    2. Link an wen auch immer zur Verfügung stellen.
    3. Link wird geöffnet -> Passwort eingabe erforderlich.
    4. Nach erfolgreicher Passwort eingabe erzeugt QNAP einen weiteren Link zum eigentlich Inhalt. (Ich nenn ihn entschlüsselter Link, obwohl der Link selbst natürlich nicht verschlüsselt war, nur der Inhalt sollte es sein)
    5. Der entschlüsselte Link gelangt auf welchem Wege auch immer an eine dritte Person, die kein Passwort besitzt.
    6. Diese dritte Person öffnet den entschlüsselten Link und gelangt direkt zum Inhalt ohne Passwort abfrage, auch bei Verwendung eines anderen Browsers oder Rechners.


    Und genau der 6. Punkt sollte so eigentlich nicht funktionieren. Eigentlich müsste diese Dritte Person zurück zum ersten verschlüsseltem Link geleitet werden, bei dem eine Passwort abfrage erfolgt. Dies geschieht jedoch nicht.

    Einmal editiert, zuletzt von angelluck ()

    Sofern ich das dem Forum entnehmen kann, kommt das schon mal vor.


    Aber ob TeamViewer weiß ich nicht.


    Fernwartung hab ich aber schon mal hier gelesen.

    Naja, auf Teamviewer und Co. würde ich nicht setzen.
    Ein Screencast oder PDF mit Screenshots in Englisch, wären wohl die beste und schnellwikenste Methode.

    Ich kann keine Sicherheitslücke erkennen. Man kann aus der Diskussion hier mitnehmen, dass der entschlüsselte Link zeitlich unbegrenzt gilt und das wird von Qnap wohl auch so gewollt sein. Warum sollte es anders sein? Der entschlüsselte Link ist vergleichbar mit den privaten Links, die es bei jedem Clouddienst gibt und auch so praktikabel sind. Wer will denn immer wieder ein Passwort eingeben müssen, nur weil eine Session oder ein Zeitfenster abgelaufen ist? Wem das so nicht gefällt, der muss die Freigabelinks ja nicht nutzen.


    Alle Versuche eine Sicherheitslücke zu konstruieren beruhen darauf, dass der unverschlüsselte Link auf irgendeinem Weg in fremde Hände gerät. Das kann natürlich passieren, aber auf diesem Wege könnte natürlich auch der "verschlüsselte Link + Passwort" in fremde Hände geraten und damit wird die konstruierte Sicherheitslücke ad absurdum geführt.

    Einmal editiert, zuletzt von phoneo ()

    Das ist aber unwahrscheinlicher, weil die Passwörter selbst ja eigentlich immer verschlüsselt übertragen werden sollten.


    Der Link selbst, wird aber eigentlich nie verschlüsselt übertragen. Sondern nur der Inhalt des Links ist verschlüsselt. Aber in diesem Fall ist er es nicht.


    Du würdest dich auch bei deiner Bank bedanken, wenn du nur ein einziges Mal dein Passwort eingeben müsstet und der zugang dann für alle Zeiten für jeden möglich wäre, der an einen der weiterführenden Links kommt.


    Ich mein dann reicht es eigentlich auch mit Wireshark oder so den Netzwerkverkehr abzuhören. Du gibst einmalig das Passwort ein bekommst einen neuen Link und der Angreifer fischt ihn da nur raus und muss nichts weiter mehr tun.

    Aber die Übertragung ist per SSL gesichert, siehe Themenüberschrift. Das gilt doch für alle übertragenen Informationen: Passwort, verschlüsselter Link und der unverschlüsselte Link. Auf dem Übertragungsweg darf deshalb nichts abgehört werden können, sonst müssten wir SSL komplett infrage stellen. Deshalb müsstest du erst einmal deutlich machen, an welcher Stelle überhaupt Daten zum Mithören abgegriffen werden können.


    Ich sehe den verschlüsselten Link (in meiner vielleicht naiven Sichtweise) als einen "Tresor" für den unverschlüsselten Link an. Dieser Tresor hat mit der SSL-Übertragung selbst (mit meiner Sichtweise) nichts gemein.


    Der Bankvergleich passt aber nun wirklich nicht.

    Ich hab das mal bei der Dropbox probiert, obwohl man es nicht ganz vergleichen kann, da es dort keine passwortgeschützten Freigabelinks gibt.
    Aber wenn ich da den Link von einem z.B. Bild kopiere und ich auf einem anderen PC einfüge, komme ich wieder erst zur Login-Seite.
    Und so finde ich, sollte es auch sein.

    Ich kann private Linkfreigaben in Youtube, Google-Drive oder Dropbox so oft teilen wie ich will. Und richtig, es ist nicht direkt vergleichbar.
    Ich habe den Eindruck, dass ihr den Nutzen des Passworts überbewertet. Aber ich sehe immer noch nicht das Sicherheitsproblem. Konstruiere einen Fall wo es auftritt.

    Einmal editiert, zuletzt von phoneo ()

    Die letzte übergebene Adresse sollte schon eine Gültigkeit mit Hilfe eines Cookies haben, entweder in Minuten oder solange eine Verbindung zwischen Browser und Server vorhanden ist.
    Aber so eine unbegrenzte Gültigkeit ist einfach unverantwortlich, vorallem wenn diese Möglichkeit auch geschäftlich genutzt wird, dann es im Extremfall die Existenz kosten, Stichwort Industriespionage.

    Zitat von phoneo

    Ich kann private Linkfreigaben in Youtube, Google-Drive oder Dropbox so oft teilen wie ich will. Und richtig, es ist nicht direkt vergleichbar.
    Ich habe den Eindruck, dass ihr den Nutzen des Passworts überbewertet. Aber ich sehe immer noch nicht das Sicherheitsproblem. Konstruiere einen Fall wo es auftritt.

    Ok ganz blöd konstruierter Fall. Du sitzt in einem Internetcafe rufst den link auf, gibst brav dein Passwort ein und nachdem du gesehen hast was du sehen wolltest schließt du den Browser.


    Der nächste der sich an den rechner setzt schaut sich erst mal die zu letzt geöffneten Seiten an und kommt dann auch eben auf diesen Link. Es benötigt also nicht mal irgendwelche Logfiles und der kann diesen Link jetzt auch beliebig teilen und das endlos lange und auf beliebigen Rechnern.


    Im prinzip ist es doch egal, wie dritte an diesen Link kommen. Sie sollten grundsätzlich auf die Loginseite geleitet werden. Und ja wenn ich nicht möchte das andere darauf zugriff haben finde ich ein Passwort oder etwas ähnliches schon wichtig.


    Ja man könnte jetzt sagen das Internetcafes grundsätzlich als unsicher zu betrachten sind, gebe ich dir recht, aber ehrlich gesagt ist mir egal wie fremde an solche Links kommen. Es sollte schlicht nicht funktionieren, dass sie sich die Inhalte dann einfach anschauen können.

    Jup, gibt es noch z.b. bei uns in der nähe vom Bahnhof. Und selbst wenn nicht hier zu lande im Ausland gibts das auf jedenfall noch.

    Zitat von angelluck

    Der nächste der sich an den rechner setzt schaut sich erst mal die zu letzt geöffneten Seiten an und kommt dann auch eben auf diesen Link. Es benötigt also nicht mal irgendwelche Logfiles und der kann diesen Link jetzt auch beliebig teilen und das endlos lange und auf beliebigen Rechnern.

    Die zuletzt geöffneten Seiten könnten aber auch noch die gültige Session enthalten, die ihr euch vorstellt. Bei allem was auch immer ihr bisher konstruiert habt, ist nicht das System der Schwachpunkt sondern der Depp der davor sitzt. Und gegen den ist kein Kraut gewachsen. Da hilft auch nicht der verschlüsselte Link.



    Zitat von angelluck

    Im prinzip ist es doch egal, wie dritte an diesen Link kommen.

    Wer nicht verantwortungsbewußt mit diesem Link umgeht, dem traue ich auch nicht zu, dass er es mit dem verschlüsselten Link + Passwort besser kann.




    Zitat von Eraser-EMC2-

    Aber so eine unbegrenzte Gültigkeit ist einfach unverantwortlich, vorallem wenn diese Möglichkeit auch geschäftlich genutzt wird, dann es im Extremfall die Existenz kosten, Stichwort Industriespionage.

    Wieso? Unbegrenzte Gültigkeit von Links sind bei allen Clouddiensten Standard. Wenn man weiß dass es so ist, muss man damit nur gescheit umgehen können.


    Die Formel ist doch eigentlich ganz einfach: unverschlüsselter Link = verschlüsselter Link + Passwort


    Wer mit dem unverschlüsselten Link nicht sorgfältig umgeht, wird es mit verschlüsseltem Link + Passwort nicht besser können.

    Zitat von phoneo

    Wer mit dem unverschlüsselten Link nicht sorgfältig umgeht, wird es mit verschlüsseltem Link + Passwort nicht besser können.

    Das sehe ich anders.


    Denn es ist normal Links weiter zu geben, da denkt sich erst mal keiner was. Und letzten endes ist es ja auch genau der Zweck der Sache hier. Jedoch soll nicht jeder x-beliebige drauf zugreifen können, sondern ausschließlich der der dazu berechtigt ist.


    Und egal welcher Link nun weiter gegeben wird, wenn er weiter gegeben wird sollte man grundsätzlich auf der Seite mit der Passwortabfrage landen und erst wenn man sich da mit dem Passwort authentifiziert hat sollte man zugriff auf die Inhalte erlangen. Das ist die Vorgehensweise die ich normalerweise erwarte und in der Regel auch geliefert bekomme. Das du dich innerhalb einer Session nicht ständig neuanmelden musst ist ok, aber wenn die Session beendet oder abgelaufen ist, sollte eben wieder eine Passwortabfrage kommen.