Toggle sidebar

DSM 6.x und darunter DSM Login ohne Credentials

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
H

hilton_syn

Benutzer
Registriert
17. Jan. 2014
Beiträge
142
Reaktionspunkte
0
Punkte
0
Hallo,

mir ist zufällig folgendes aufgefallen:

1) Logge Dich als Admin vai Browser (z.B. Mozilla) ins DSM ein
2) führe einen Kaltstart durch
3) das System startet komplett bis ins DSM GUI als Admin durch - ohne ein Login

Nach meinem Dafürhalten ist das ein Bug und eine Sicherheitslücke. Die nette Antoine von Security@synology.com schreibt dazu nur, ich soll die Cookies im Browser löschen, dann würde das nicht passieren.

Also leide ich an Paranoia, zu hohen Erwartungen oder kompletten Nichtwissen, dass ich erwarte, dass ein NAS nach einem Kaltstart UNBEDINGT die Credentials abfragt?!?

Was sagt Ihr dazu?
 
Versuche es nach dem Kaltstart einmal von einem anderen Rechner aus. Wenn das dann dort geht, würde ich das kritisch nennen. So ist es wohl nur der Browser mit seinem Cookie. In welchem Szenario wäre das kritisch?
 
Wenn Du derart hohe Erwartungen hast, dann solltest Du aber Cookies gänzlich deaktivieren in Deinem Browser - ansonsten könnte jeder andere User sich auch auf den zahlreichen anderen Webseite mit Deinem Login anmelden, ohne dass Du etwas dagegen tun kannst. Nicht umsonst hat man einen "Abmelden"-Button...
 
Hallo Frogman,

danke, aber die Funktion und das Vorhandensein des Abmelden Buttons ist mir durchaus bekannt. Sag mir doch nur mal wie ich mich nach auslösen des Kaltstarts über die GUI "abmelden" soll bzw. wie ich nach "Abmelden" über die GUI einen Kaltstart über die GUI auslösen soll ohne angemeldet zu sein?!?
 
Werde ich testen und berichten, security@synology.com schrieb dasselbe in Bezug auf Cookies insofern denke ich, dass es über ein Dritten Rechner wohl nicht funktionieren wird. Ich finde es schlicht und ergreifend irritierend, dass das System nach einem Kaltstart komplett ohne Anmeldung in die GUI durchläuft. Die DS kann das auch nicht unabhängig von Cookie an/aus selbst steuern?
 
In meinen Augen macht der Button im DSM genau was er sagt: Die DS neu starten. Sonst würde dort stehen "Abmelden und Neustart".
Das Löschen des Cookies ist so eine Art pseudo-Logout, weil der Browser danach nicht mehr in der Lage ist sich gegenüber dem DSM zu authentifizieren. Auch wenn du deine Zugangsdaten nur ein Mal am Anfang eingibst - der Browser authentifiziert sich ständig über eine Art temporäres Session-Passwort. Das ist die im Web übliche Vorgehensweise. Jedes mir bekannte System arbeitet mit diesem Session-Mechanismus.

MfG Matthieu

PS: Geht es nur mir so oder bezeichnet Kaltstart nicht eigentlich das explizite Stoppen und anschließende Starten über die Tasten am Gehäuse? Ein SW-Neustart ist meinem Verständnis nach kein Kaltstart. Aber genau definiert ist das wohl kaum, eher ein aus dem KFZ-Bereich übertragenes Wort.
 
Hi Matthieu,

nur das wir uns richtig verstehen, ich habe nicht "Neustart" benutzt, sondern "Herunterfahren" im GUI geklickt und danach den Start durch Drücken des Knopfes am Gehäuse geklickt.

Dass das System nach Klicken "Neu starten" ohne Login wiederkommt fein.

Aber herunterfahren > Strom aus > Startknopf gedrückt > dann wieder an und dann kein Login? Mich irritiert das, aber es beruhigt mich, wenn sich wie Du schreibst alle anderen Systeme auch so verhalten.
 
hilton_syn schrieb:
Sag mir doch nur mal wie ich mich nach auslösen des Kaltstarts über die GUI "abmelden" soll bzw. wie ich nach "Abmelden" über die GUI einen Kaltstart über die GUI auslösen soll ohne angemeldet zu sein?!?
Zum Vergrößern anklicken....
Es ging hier ja nicht um den Einsatz des Buttons für den Kaltstart, sondern grundsätzlich zum Löschen der entsprechenden Cookies. Wenn jemand an der DS den Neustart auslöst, ist er dafür eingeloggt - dann spricht nicht allzu viel dagegen, dass er 2 min später wieder in der GUI sein darf. Mach das Ganze nach einem kompletten Ausschalten der DS eine halbe Stunde später und Du bootest nicht direkt in die GUI (ist jedenfalls bei mir so).
 
Siehe da, hat es sonst noch jemand gesehen:

DSM 5.1 5004 Systemsteuerung > Sicherheit > ganz unten neue Funktion / Checkbox "Alle gespeicherten Benutzeranmeldungen beim Systemneustart löschen"

Da fand dann wohl doch jemand bei Synology, dass es irgendwie standardmäßig nicht so ganz optimal ist, dass man nach dem Systemneustart automatisch eingeloggt wird...
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten