DSM 6.x und darunter wie: browserzugriff nur lokal auf ds (und router)

[klaasklever]

hallo,

vielleicht ein wenig offtopic, aber durchaus noch synology die netzwerkerfahrenen unter euch werden mir die frage sicher ganz fix beantworten können.

ich möchte ungern im firefox auf die admin-funktionen von ds und router zugreifen, da eben immer wieder mal sicherheitslücken auftreten. passwortspeichern ist erst recht nicht drin, auch, weil die entsprechende funktion des firefox schon mal angreifbar war.

ich habe also opera dafür installiert (ich weiß, eine schande, der kann so viel mehr) aber auch dem passwort-tresor des norwegers trau ich nicht ganz übern weg.

frage: ist es eine gute idee, im opera einfach einen ungültigen proxy einzurichten, so dass der browser nicht mehr online gehen kann? die lokalen adressen der ds und des routers wären als ausnahmen definiert. auf diese art sollten angriffe von außen oder das mitlauschen der passwörter doch weitgehend ausgeschlossen sein? (ausnahmen natürlich lücken in der proxy-funktion oder angriffe über windows 7 auf operas dateien).

hab ich einen denkfehler oder was übersehen?

es dankt und grüßt,

kk

 

[itari]

Ist es nicht einfacher und besser, regelmäßig das Passwort zu ändern ... sagen wir alle 7 Tage?

Itari

 

[klaasklever]

sollte man wahrscheinlich machen, schon klar (zumal das passwort ja unabhängig vom windows-zugriff auf die freigaben ist?). aber das ist natürlich unpraktikabel nur einmal, und die faulheit siegt. wenn das passwort nur lokal zum einsatz kommt, ist die größte gefahr ja eigentlich gebannt - so mein gedanke...

 

[jahlives]

hallo,

vielleicht ein wenig offtopic, aber durchaus noch synology die netzwerkerfahrenen unter euch werden mir die frage sicher ganz fix beantworten können.

ich möchte ungern im firefox auf die admin-funktionen von ds und router zugreifen, da eben immer wieder mal sicherheitslücken auftreten. passwortspeichern ist erst recht nicht drin, auch, weil die entsprechende funktion des firefox schon mal angreifbar war.

ich habe also opera dafür installiert (ich weiß, eine schande, der kann so viel mehr) aber auch dem passwort-tresor des norwegers trau ich nicht ganz übern weg.

frage: ist es eine gute idee, im opera einfach einen ungültigen proxy einzurichten, so dass der browser nicht mehr online gehen kann? die lokalen adressen der ds und des routers wären als ausnahmen definiert. auf diese art sollten angriffe von außen oder das mitlauschen der passwörter doch weitgehend ausgeschlossen sein? (ausnahmen natürlich lücken in der proxy-funktion oder angriffe über windows 7 auf operas dateien).

hab ich einen denkfehler oder was übersehen?

es dankt und grüßt,

kk

Also wie soll man dein PW von aussen bei einer internen LAN-Übertragung mitlauschen können? Das geht ja nicht aus deinem Router raus und bleibt im LAN.
Und wenn dir jemand dein PW im LAN mitschneiden kann, dann muss er dir schon Schadsoftware untergeschoben oder den Router gekapert haben (und damit hast du ganz andere Probleme).
Nutze bei der Übertragung von sensiblen Infos ein verschlüsseltes Protokoll (https oder ssh).
Und wenn du den Passworttresoren nicht vertraust, dann gib das PW doch einfach jedes Mal von Hand u.U. sogar mittels einer virtuellen Tastatur beim DSM an.
Natürlich darf jeder machen was er will, aber ich glaube kaum, dass du durch deinen Plan auch nur ein bisschen mehr Sicherheit gewinnne wirst.

Gruss

tobi

 

[klaasklever]

ich dachte da vor allem an sicherheitslücken im browser, über die jemand irgendwas erschnüffeln kann. die werden zwar meist von den "guten" zuerst entdeckt und erst dann machen sich kriminelle das zunutze, aber darauf kann man sich kaum verlassen. zudem: wie vertrauenswürdig sind zudem firefox-addons? okay - das ist natürlich schon ziemlich paranoid, auch wenn just gestern unsichere (aber gutmütige) addons festgestellt wurden.

mein gedanke war: selbst eine potentielle sicherheitslücke im browser kann keiner ausnutzen, wenn der browser nicht mit dem internet verbunden ist und sonst keine schadsoftware auf dem rechner ist. somit wäre der browser nur im lan selbst angreifbar.

meine frage war im grundsatz auch nur, ob das so richtig ist - also ob der browser bei eingestelltem proxy in den browser-optionen auch richtig "abgeriegelt" ist und gar nicht mehr mit dem internet in berührung kommen kann, wenn man nicht wieder umstellt. das hat mir leider noch keiner beantwortet/beantworten können.

 

[jahlives]

meine frage war im grundsatz auch nur, ob das so richtig ist - also ob der browser bei eingestelltem proxy in den browser-optionen auch richtig "abgeriegelt" ist und gar nicht mehr mit dem internet in berührung kommen kann, wenn man nicht wieder umstellt. das hat mir leider noch keiner beantwortet/beantworten können.

Der Browser wird so abgeriegelt nicht mehr ins Netz kommen. Gute Sicherheit, aber nur solange wie du garantieren kannst, dass du keine Schadsoftware (z.B. Keyloggers) auf dem PC und keinen ungebetenen Gast im LAN hast.

Letzendlich ist es immer möglich irgendwie reinzukommen, wenn man wirklich will und viel Zeit und Rechenpower hat...

 

[klaasklever]

danke!
du hast mit dem rest zweifellos recht, aber da kann ich wie jeder nutzer nur auf das machbare setzen - win 7 mit uac, antivirus, firewall router + win, wpa2 und 5ghz-wlan, regelmäßige updates (+ein synology-nas ohne lücken... )

 

[itari]

... und regelmäßig die Kennworte ändern (vergisst man in der Aufregung gerne)

Itari

 

[jahlives]

... und regelmäßig die Kennworte ändern (vergisst man in der Aufregung gerne)

Itari

... und dann noch genügend komplexe Passworte

 

[klaasklever]

(komplex genug sind meine schon immer, ich bin schon mal ganz stolz, nicht immer die gleichen zu nehmen dank eines guten merksystems und muss vielleicht ein ähnlich gutes system fürs ändern nehmen. man kann ja zahlenreihen nehmen? also alle 7 tage eine zahl n+1 zur aktuellen zahl im passwort zuaddieren. oder einfach den aktuellen kontostand...)

 

[itari]

... und dann noch genügend komplexe Passworte

Hatte ich in dem Zusammenhang schon mal auf die geniale Schweizer Passwort Card hingewiesen?

Itari

 

[klaasklever]

die ist super, so scheint es. so ganz verstanden habe ich sie nicht - mangels genauerer anleitung. also das prinzip ist klar - ich such mir nen buchstaben oder ne zahl als startpunkt und von da aus vorwärts oder rückwärts dann jeweils auf- oder abwärts die passworte. und dann später mit dem nächsten buchstaben. aber wenn die karte elektronisch vorliegt - ist die zahl der möglichen, langen passworte dann nicht im errechen- und testbaren bereich? ein computer kann ja alle möglichen kombinationen mit mehr als 5 zeichen durchprobieren, wenn bei einer loginmaske keine verzögerung eingestellt ist, z.b.

wo liegt mein denkfehler? das ding ist ja sicher schlauer als ich gemacht

und wozu sind die zahlenfelder auf der karte zum ausfüllen?

 

[jahlives]

Hatte ich in dem Zusammenhang schon mal auf die geniale Schweizer Passwort Card hingewiesen?

Itari

Die du am besten im Schweizer Bankschliessfach hast.
Letzendlich musst du aber wenn dir das Teil abhanden kommt trotzdem alle Passwörter ändern. Da lebe ich lieber mit der Unsicherheit eines Passwortsafes (der sogar noch automatisch die Logins ausfüllen kann) v.a. weil ich weiss wie Schweizer Banken arbeiten (muahmuah)

Gruss

tobi

 

[itari]

die ist super, so scheint es. so ganz verstanden habe ich sie nicht - mangels genauerer anleitung. also das prinzip ist klar - ich such mir nen buchstaben oder ne zahl als startpunkt und von da aus vorwärts oder rückwärts dann jeweils auf- oder abwärts die passworte. und dann später mit dem nächsten buchstaben. aber wenn die karte elektronisch vorliegt - ist die zahl der möglichen, langen passworte dann nicht im errechen- und testbaren bereich? ein computer kann ja alle möglichen kombinationen mit mehr als 5 zeichen durchprobieren, wenn bei einer loginmaske keine verzögerung eingestellt ist, z.b.

wo liegt mein denkfehler? das ding ist ja sicher schlauer als ich gemacht

und wozu sind die zahlenfelder auf der karte zum ausfüllen?

die Geheimnisse, die das Teil unknackbar machen:

1] ich wähle meine persönlichen Startkoordinaten (für jedes Passwort neu)
2] ich wähle meine persönliche Methode (Linie, Rösselsprung usw.)
3] ich wähle meine persönliche Richtung (Nord, Ost, Süd, West)
4] ich wähle meine persönliche Passwortlänge

Wenn ich die Kartennummer weiß, dann kann ich sie von der Firma reproduziert bekommen. Ist ja kein Problem, da die Karte ja erst durch meine 4 Geheimnisse brauchbar wird.

Itari

 

[klaasklever]

in der summe und kombination - stimmt. das macht nen guten eindruck.

ich hab jetzt ja die kostenlose hier liegen. die sollte ja reichen. wird die eigentlich mal erneuert ab und an oder sowas? nur so aus neugier, für normale bedürfnisse wird sie ja wohl reichen

 

[jahlives]

ein computer kann ja alle möglichen kombinationen mit mehr als 5 zeichen durchprobieren, wenn bei einer loginmaske keine verzögerung eingestellt ist, z.b.

wo liegt mein denkfehler? das ding ist ja sicher schlauer als ich gemacht

und wozu sind die zahlenfelder auf der karte zum ausfüllen?

Mindestens 8 Zeichen mit Gross-Kleinschreibung, Sonderzeichen und Zahlen gelten als ziemlich sicher. Alles darunter kannst du gleich ein PostIt an den Bildschirm kleben
Wenn es bei mir "sicher" sein soll z.B. Online Banking und Logins für die Hostings, dann verwende ich mindestens ein 12 stelliges Zufallspasswort.
Ich denke die Karte ist so sicher wie es geht, wobei ich vermute dass ein RSA 4096 Bit Schlüssel immer noch viel sicherer ist

 

[itari]

in der summe und kombination - stimmt. das macht nen guten eindruck.

ich hab jetzt ja die kostenlose hier liegen. die sollte ja reichen. wird die eigentlich mal erneuert ab und an oder sowas? nur so aus neugier, für normale bedürfnisse wird sie ja wohl reichen

Die Karte wird per Zufallszahl bei dir angezeigt ... es gibt Millionen von Karten ... Ich hatten mal vor 3 Jahren auf der CeBit 50 verschiedene Karten bei denen abgegriffen

Itari