Frage zu SSL

    Ich glaube nicht, dass QNAP jemals eine andere Lösung angestrebt hat, als wir sie hier vorfinden und diskutiert haben. Es geht um eine schnöde Linkfreigabe, so wie sie von allen Clouddiensten angeboten wird. Dazu noch ein kleines Extra, dass der Link mit einem Passwort versehen wird. Wer einen mit allen verfügbaren Mitteln sicheren Zugang zu seinem Nas haben möchte, der soll halt mit Benutzer, Passwort und 2-stufen-Verifikation arbeiten.


    Es spricht aber auch nichts dagegen einen Einwand an QNAP zu formulieren. Die Reaktion darauf interessiert mich auch.


    Aber was finde ich da gerade:


    Zitat von QNAP

    Sicherer Datentausch über URL


    Es gibt etliche Möglichkeiten, Dateien über das Internet auszutauschen. Zu den Komfortabelsten zählt die Bereitstellung eines einzigen Download-Links. Der QNAP File Station ermöglicht die gemeinsame Nutzung von mehreren Dateien mit eindeutigen URLs, die einfach angeklickt werden und keine Benutzeranmeldung erfordern. Dadurch entfallen das komplizierte Konfigurieren von Berechtigungen und der Anmeldevorgang. Die Sicherheit wird mit SSL und Kennwortoptionen gewährleistet. Der Turbo NAS-Besitzer kann auch eine URL-Ablaufzeit für die bereitgestellten URLs definieren.

    Zitat von phoneo

    Es spricht aber auch nichts dagegen einen Einwand an QNAP zu formulieren. Die Reaktion darauf interessiert mich auch.

    Mich auch.
    Man könnte es sicherer machen, wenn es gewollt wäre.

    Wäre Qool wenn das mal jemand auf den Punkt bringt und mit 1-2 Screenshots untermauert. Vorzugsweise gleich in englisch, dann brauch ich es nicht übersetzen.


    Grüße
    Christian

    So,


    ich habe mal zu dem Problem bei Qnap ein Ticket aufgemacht.
    Mal sehen, was als Antwort kommt.

    Hier ist die Antwort:




    Zitat von Der Support

    This is the current design of the share link password function.
    If someone is listening or monitoring your network, then you should not share the sensitive info by File Station share link.

    Thank you.




    Eigentlich schwach.

    Ja, aber wenn der Inhalt, dessen was ich schützen will, nicht geschützt wird, dann brauch ich auch kein passwort dafür. Dann kann ich es genauso gut irgendwo auf einem webserver ablegen.

    Du musst aber zugeben, dass schon einige kriminelle Energie reingesteckt werden muss, um an den Inhalt zu gelangen. ;)
    Ja, es ist nicht sicher und nein, die Daten liegen nicht weltoffen rum.

    Zitat von QNAP Support

    If someone is listening or monitoring your network, then you should not share the sensitive info by File Station share link.

    Das ist doch absolut zutreffend beschrieben und betrifft genau die Frage, die wir hier bereits erschöpfend diskutiert haben. Wie kommt jetzt ein Angreifer an den unverschlüsselten Link? Offensichtlich nur durch Abhören des entsprechenden Heimnetzwerkes? Dann hast du ganz andere Probleme zu lösen. :thumbup:

    Zitat von dr_mike

    Du musst aber zugeben, dass schon einige kriminelle Energie reingesteckt werden muss, um an den Inhalt zu gelangen. ;)
    Ja, es ist nicht sicher und nein, die Daten liegen nicht weltoffen rum.

    Sehe ich erlich gesagt nicht so.


    Sitzt du in der Uni an einem Rechner der für alle zugänglich ist und rufst die Datei ab und gehst dann irgendwann wieder, kann die Datei einfach aus der History aufgerufen werden. Ich finde die Kriminelle Energie in so einem Fall eher gering.


    Klar wenn sich einer erst auf deinen Rechner hacken muss steckt schon mehr energie dahinter. Aber wenn der Zugang zum Rechner gegeben ist, ist es leicht.

    Ich würde niemals nicht auf die Idee kommen und an einem fremden Rechner vertrauliche "Dinge" öffnen, noch würde ich meine Emails dort abrufen oder ähnliches. Auf solche Kisten kann auch nen Tastatur Logger laufen ;)


    Christian

    @angelluck
    Da muss ich dir widersprechen.
    Erste Regel, wenn man an einem öffentlichen Rechner arbeitet: Vor dem Verlassen des Rechners die gesamte Historie löschen und wenn möglich den Rechner neu starten.

    Zitat von angelluck

    Sitzt du in der Uni an einem Rechner der für alle zugänglich ist und rufst die Datei ab und gehst dann irgendwann wieder, kann die Datei einfach aus der History aufgerufen werden. Ich finde die Kriminelle Energie in so einem Fall eher gering.

    Du könntest aber genauso gut den Zettel mit den Zugangsdaten dort vergessen haben. Dann nützt die ganze Verschlüsselung nichts, selbst dann nicht, wenn sie so wäre wie ihr sie euch vorstellt.

    Meine Passwörter habe ich normalerweise im Kopf und nicht auf irgendwelchen Zetteln, defakto kann ich sie nicht irgendwo liegen lassen. Und das Szenario würde trotzdem funktionieren.


    Dein Zettel mit Serveradresse und zugangsdaten kann dir auch auf der Straße aus der Tasche fallen, dann hast auch keinen Schutz für nichts. Bei deinen Szenarien besteht immer eine gewisse selbstschuld. Wenn mir so was aber nicht passiert und der Zugriff auch für einen DAU möglich ist, dann ist das einfach fahrlässig.


    Und der DAU schafft es vermutlich noch die Histrory aufzurufen und mal durch zu klicken. Hacken könnte er aber vermutlich nicht.

    Zitat von dr_mike

    @angelluck
    Da muss ich dir widersprechen.
    Erste Regel, wenn man an einem öffentlichen Rechner arbeitet: Vor dem Verlassen des Rechners die gesamte Historie löschen und wenn möglich den Rechner neu starten.

    Den hatte ich übersehen. Ja, da gebe ich dir recht, dass sollte man tun.
    Aber schau mal hin wie viele das wirklich machen. Sei es aus unwissenheit, oder weil sie es schlicht vergessen, weil sie es an ihrem eigenen Rechner auch nicht machen.


    Ich mein akutell ist ein NAS noch ein Gerät das überwiegend bei Leuten rum steht die sich einigermaßen auskennen. Aber lass noch mal 10 Jahre ins Land ziehen, dann steht so ein Teil möglicherweise in jedem Haushalt. Und dann habe ich auch die dran sitzten die sich nicht auskennen und von solchen Regeln nie etwas gehört haben.


    Ich hätte schon heute, so ein NAS auch gern bei meinen Schwestern stehen. Die eine hat wenigstens grundlegendes Interesse an sicherheit usw. liegt sicher auch an ihrem Job, da wird denen das mit sicherheit ständig eingebläut. Aber die andere hätte vielleicht gerne die funktionen des Geräts, aber das Gerät soll doch bitte nur funktionieren und am besten unsichtbar sein. Die Einrichtugn soll doch dann auch bitte irgend jemand anderes machen. Ich mach jede Wette die würde ihre Bankdaten auch bei Facebook sichern wenn es angeboten werden würde. Ist dann ja sehr viel Praktischer, dann können die Leute sich die Bank Daten dort holen und sie müsste sie nicht mehr überall eingeben.


    Da kann man dann halt nur die Hände überm Kopf zusammen schlagen und darauf hoffen, dass der Hersteller solcher Geräte die grundlegenden Sicherheitsfunktionen anständig implementiert.


    Zitat von christian

    Ich würde niemals nicht auf die Idee kommen und an einem fremden Rechner vertrauliche "Dinge" öffnen, noch würde ich meine Emails dort abrufen oder ähnliches. Auf solche Kisten kann auch nen Tastatur Logger laufen ;)


    Christian

    Ich würde das auch nicht, aber hier soll ein Link zu verschlüsslungswürdigen Dateien geteilt werden, per Email oder sonst irgendwie.
    Und wenn du den Link nicht gerade nur für dich selbst verschickst, hast du eigentlich keinen Einfluss darauf, wo er geöffnet wird, ob hinter her die History gelöscht wird, falls der Link an einem öffentlichen Rechner geöffnet wurde usw.


    Das ist ja das eigentliche Problem.


    Ich denke da wäre es sicherer für die betreffende Person ein VPN Account einzurichten und ihr den Zugriff ausschließlich darüber zu gewähren. Das ist aber wiederum mit etwas aufwand verbunden und ihr wisst es selbst, vielen normalen Usern ist das zu kompliziert.

    Ich hoffe, dass ich nichts wichtiges überlesen habe.
    Ich versuche es mal, zu replizieren.
    Da gibt es eine SSL-Verbindung, über die ein verschlüsseltes Passwort übertragen wird. Richtig?
    Da wird der Schlüssel verschlüsselt, ist aber in der URL zu sehen. Ist soweit ok, da, wie hier anders geäußert, dass verschlüsselte Passwort nicht entschlüsselt wird.
    Es wir der Hash abgeglichen.
    Käse ist allein die Session-Verwaltung von QNAP. Man kann steuern wann welche Variablen gelöscht, zerstört werden.
    Mach ich übrigens bei rsnap, schließt du den Tab wird User und encrypt Passwort gelöscht.

    @frosch2 genau so sollte es sein! Und du hast völlig recht es liegt an der Session-Verwaltung, wenn die anständig umgesetzt worden wäre, wäre das ganze Thema gar kein Problem. Nur bei Qnap läuft hier die Session eben endlos weiter und das macht es unsicher und komplett überflüssig.