Frage zu SSL

    Zitat von angelluck

    Aber schau mal hin wie viele das wirklich machen. Sei es aus unwissenheit, oder weil sie es schlicht vergessen, weil sie es an ihrem eigenen Rechner auch nicht machen.

    Unwissen schützt vor Strafe nicht. ;)
    Und ehrlichgesagt wird das so oft gepredigt, dass jemand, der das nicht weiss, vermutlich auch sein NAS sperrangelweit offen im Netz stehen hat.
    Sorry, das sind alles Ausreden. Jemandem, der noch nichts von Datenschutz gehört hat oder aber nichts davon wissen will, ist eh nicht zu helfen und dem würde ich auch so einen Link nicht zukommen lassen.

    Ach @angelluck, du versuchst mit allen Mitteln etwas zu konstruieren was nur zu deinem Szenario passt. Alles andere willst du nicht gelten lassen. Aber egal ob vergessen wird den Browsercache zu löschen oder den Zettel wieder mitzunehmen, die Fehlerquelle sitzt vor dem Rechner. :D

    Es ist recht mühsig mit euch zu diskutieren, wenn ihr realistische Szenarien einfach ablehnt. Natürlich könnt ihr sagen, ich würde das aber nicht machen. Das glaube ich euch! Aber andere würden es tun!


    Ich nutze auch kein Facebook, weil ich es für eine Datenschleuder halte. Aber sehr viele tun es. Auch Leute die es besser wissen müssten. Warum machen sie es? Weil es alle machen und man von allen Leuten ständig dazu gedrängt wird es auch zu nutzen weil es doch so schön praktisch ist. Machst du nicht mit, bekommst du eben viele Informationen nicht. Damit muss man leben können.


    Ich bin abgeschweift, hier gehts weiter.


    Die Dinger stehen aber auch in Firmen rum und nicht jeder der da rum rennt hat Ahnung von der Materie. Ich hatte QNAPs schon in kleinen Bäcker Betrieben stehen sehen. Die Leute nutzen die funktion dann doch einfach sagen wunderbar da oben im Browser ist das schloss zu sehen, alles in Ordnung. Als Admin eines kleinen Systemhauses bekommst du was der Bäcker da treibt im zweifel doch gar nicht mit. Und wenn du von so einem Leck nichts weißt dann warnst du den Bäcker noch nicht einmal, dass er die Funktion besser nicht nutzt, wenn es um wirklich vertrauliche Daten geht.

    Zitat von phoneo

    die Fehlerquelle sitzt vor dem Rechner. :D

    Na ganz so einfach ist es nicht.
    Die Variablen, die auf dem Server angelegt werder, werden automatisch nach bestimmter Zeit zerstört.
    Da aber in modernen Interfaces mit Javascript gearbeitet wird (auch QNAP), liegen die Variablen auf dem Client.
    Da muss man eben Sorge tragen, dass diese gelöscht werden, wenn ich den Tab oder Browser schließe.

    Zitat von phoneo

    Ach @angelluck, du versuchst mit allen Mitteln etwas zu konstruieren was nur zu deinem Szenario passt. Alles andere willst du nicht gelten lassen. Aber egal ob vergessen wird den Browsercache zu löschen oder den Zettel wieder mitzunehmen, die Fehlerquelle sitzt vor dem Rechner. :D

    Das könnte man über euch auch sagen. Denn ihr akzeptiert einfach nicht, dass eine Lücke existiert.


    Ihr macht es wie ein großer Discounter, von dem ich mal eine Prepaidkarte hatte mit einer Monatsflat fürs Internet.


    Die haben groß und breit irgendwo drauf geschrieben, dass Linux nicht unterstützt wird. So weit so gut.
    Die nötigen, daten wie man über einen USB-Stick damit ins internet kam gab es trotzdem überall im Internet zu finden. Das hat auch alles funktioniert wie es soll. Interessant wurde es am letzten Tag der besagten Internetflat, ich wusste nicht wann genau der Zähler wieder anfängt zu laufen, also habe ich eine etwas langsamere Verbindung per Thetering übers Handy an diesem Tag verwendet.
    Auch da habe ich lediglich die nötigen Daten im Handy und am PC hinterlegt um, damit die Verbindung aufgebaut werden konnte. Mehr nicht!


    Allerdings ist etwas seltsames passiert. Alle paar Minuten habe ich mal aufs Handy geschaut um zu sehen ob mir der traffic berechnet wird.


    Die Sache war die, auf diese weiße wurde meine Simkarte kostenlos mit Geld aufgeladen. Am Ende des Abends hatte ich 11€ mehr auf dem Handy. Das ist nicht die Welt, sollte so aber auch nicht sein.


    Ich hatte damals sogar versucht es an den Discounter zu melden. Ich sah allerdings nicht ein die teure Hotline zu verwenden, also gab es nur eine Mail. Die ist auch angekommen, allerdings habe ich nur eine 3km lange automatische Antwort Mail erhalten.


    Da dachte ich dann auch, es ist deren Geld wenn sie es nicht wollen auch gut.


    Fakt ist auch das war eine Lücke, die die schlicht damit Ignoriert haben, in dem sie gesagt haben Linux unterstützen wir nicht.


    Und bei QNAP wird eine ordentliche Session-Verwaltung nicht unterstütz. Nur wird QNAP selbst davon erst mal keinen Schaden haben sondern derren Kunden.

    och man, beim Thema bleiben!
    Das ist doch hier kein Kummerkasten.
    Gehts noch um SSL und Passwörter?

    Dein Vergleich ist wirklich Kacke!


    Zitat von angelluck

    Denn ihr akzeptiert einfach nicht, dass eine Lücke existiert.

    Da würde ich dier Recht geben, da hier wenig konkret geantwortet wird.
    Es wird hier teilweise,ein sehr bedenkliches Halbwissen geäußert.

    Was mich viel mehr stört ist, wie mit solchen Hinweisen umgegangen wird. Man hätte ja auch sagen können 'Danke wir schauen uns das mal an. Schließlich wollen wir ja unsere Produkte verbessern.'
    Die Geräte sind ja nicht nur für popelige Privatuser, sondern werden auch mit militärstarker Verschlüsselung und sonst was für die Industrie beworben. Als Systemadministrator würde ich mir da schon Gedanken machen. Wer weiß wie leichtfertig die anderen sicherheitsrelevanten Funktionen umgesetzt wurden.

    @frosch2
    Warum die Diskussion immer wieder auseinander läuft liegt daran, dass wir ein unterschiedliches Verständnis von der hier diskutierten Funktion der Linkfreigabe haben. @angelluck und @Laribum (und andere) erwarten eine zeitliche Begrenzung des entschlüsselten Links und konstruieren zu ihrer Erwartungshaltung Szenarien um eine Sicherheitslücke herbeireden zu wollen. Ich dagegen gehe davon aus, dass der passwortgeschützte Link lediglich als ahhörsicherer Transportschutz dient und QNAP nie etwas anderen geplant hat. Begriffe wie Session, Session-ID, Session-Gültigkeit finden sich auch an keiner Stelle in den QNAP Beschreibungen und entstammen lediglich angellucks und Laribums konstruierten Vorstellungen. Dazu habe ich hier bereits etwas geschrieben, womit sich mit QNAPs Antwort mein Eindruck bestätigt.


    Gruß Dirk

    Das kann man natürlich so oder so sehen. Für mich ist diese Funktion, die dem ahnungslosem User scheinbare Sicherheit nur vorgaukelt dann allerdings nicht zu gebrauchen. Das ist ja dann letztendlich auch Qnaps Empfehlung.

    Zitat von Laribum

    Das kann man natürlich so oder so sehen.

    Nein, kann man nicht. Lies doch noch einmal was QNAP selber zu den Linkfreigaben schreibt:


    Komfortable Bereitstellung von Daten mit eindeutigen URLs, die einfach angeklickt werden und keine Anmeldung erfordern.


    Wer es anders möchte kann ja Daten per Benutzerfreigabe einrichten und hat dann genau das bisschen mehr an Sicherheit die ihr euch wünscht.

    Wozu dann aber überhaupt ein Passwort. Wenn ich einfach nur einen Link haben will brauch ich kein Passwort.


    Ein Passwort ist ja nur nötig, wenn ich den Zugriff auf Daten vor unberechtigtem Zugriff schützen will. Wenn ich die Daten allen zur verfügungen stellen will, ist jeglicher Passwortschutz komplett überflüssig.

    Zitat von angelluck

    Wozu dann aber überhaupt ein Passwort.

    Z.B. wenn der Link über eine unverschlüsselte/unsichere Verbindung zum Empfänger übertragen wird, z.B über eine unverschlüsselte Email. Dann dient der verschlüsselte Link als Transportschutz. Das hatte ich aber bereits schon geschrieben, bitte meine Posts auch zuende lesen. :S


    Zwischen passwortgeschütztem Link und einer SSL Verbindung besteht meiner Ansicht nach einfach keine Abhängigkeit. Das kann man übrigens auch daran erkennen, dass man passwortgeschütze Links ohne SSL-Verbindung freigeben kann.

    Du packst also einen Schlüssel in eine verschlossene Box, verschickst das Packet dann an den Empfänger per Post. Der Empfänger holt den Schlüssel aus der Box, öffnet eine Tür damit und lässt die Tür dann sperrangelweit offen Stehen. Nutzen????
    Mal davon abgesehen, dass der Briefträger während des Transports keinen Zugriff auf den Schlüssel hatte, jetzt aber durch die offene Tür laufen kann.

    Einmal editiert, zuletzt von angelluck ()

    Wenn ich aber dem User eine gewisse Sicherheit vermittele, in dem ich eine Passworteingabe erfordere, darf der User hoffen, dass das sicher ist.
    Die Beschreibung für diese Links sind in Englisch, muss ich denn als Deutscher Englisch lesen können, müssen?
    Ich halte diese Art der Freigabe für bedenklich.
    Dem User wird Sicherheit sugeriert, wo keine ist.

    Die Beispiele werden nicht besser. Linkfreigaben sind standardisierte Methoden bei den gängigen Clouddiensten. In den Jahren in denen ich das nutze ist noch niemand auf die Idee gekommen das als Sicherheitslücke zu hinterfragen. Aber gut, irgendwann ist ja immer das erste Mal. Tipp: Versucht es doch mal mit euren Theorien bei der c't. :D