Bug / Sicherheitsproblem / Zugriffsberechtigung,

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
ich verstehe nicht was an dem so besonders sein soll. Seit wann haben alle eine Syno? Und das habt ihr nie bemerkt? Das ist alles schon immer so gewesen, und ist bei anderen Systemen wie zum Bsp windows auch so.

Klar sieht ein User die Berechtigungen in den Eigenschaften einer Datei. Es hat ihm auch niemand was verboten. Das kann man aber tun.

Verstehe absolut was da für eine Aufregung und Datenschutz und Gefahr drohen soll.
 

Stege

Benutzer
Mitglied seit
28. Dez 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Warum sollte Synology da etwas ändern, was Microsoft so vorsieht? SMB/Samba bildet ja schließlich Windows unter Linux nach.
Ein Admin legt Benutzer und Gruppen an und versieht sie wahlweise mit Meta-Daten, um sie leichter identifizieren zu können.
Auch ein "normaler" Benutzer sollte die Rechte auf "seine" eigenen Objekte selbst pflegen können und sieht ggf. dann auch die hinterlegten Meta-Daten, warum nicht? Was ist so schlimm daran? :rolleyes: Wie würdet ihr das Problem lösen?

Edit:
... und selbst wenn man einem Benutzer die Rechte auf die Filestation verweigert, sieht er die Rechte auch über SMB im Explorer unter Eigenschaften, Sicherheit doch und kann sie ggf. ändern - bringt also nichts.
Naja, DAS ist ja bei anderen Systemen genauso gegeben. Bei den Linuxen reicht ein Blick in die passwd, auf ein AD kann ich auch lesend zugreifen und sehe andere Accounts.

Gruss,
sky
fair enough, Anmeldename sowie Berechtigungen kann man einsehen. Eine Mailadresse sehe ich da aber nicht

Wie würdet ihr das Problem lösen?
Eine Gruppe schaffen der es Verboten ist solche Attribute aufzurufen.
Ich sehe keinen Grund warum ein User das sehen sollte.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Eine Gruppe schaffen der es Verboten ist solche Attribute aufzurufen.
Ich sehe keinen Grund warum ein User das sehen sollte.
Du irrst. Auch normale Benutzer können Rechte auf ihre eigenen Objekte vergeben - nicht nur Admins, wie eben unter Windows auch :rolleyes:
 

Stege

Benutzer
Mitglied seit
28. Dez 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1

Stege

Benutzer
Mitglied seit
28. Dez 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Du irrst. Auch normale Benutzer können Rechte auf ihre eigenen Objekte vergeben - nicht nur Admins :rolleyes:
Na aber genau das versucht man doch zu unterbinden indem man sagt NutzerXY darf nur den Ordner auflisten/Daten lesen aber keine erweiterten / Attribute lesen oder löschen oder Attribute schreiben
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
also auf seine eigenen Daten kann User natürlich entsprechend Zugriff haben und auch die Attribute ändern, das ist ja völlig normal und gewollt


man kann zwar einem anderen User der hier keine Berechtigung hat auch das Lesen der Attrribute untersagen, aber ob das nicht via SMB oder sonst was dann doch möglich wird habe ich nicht getestet
 

Stege

Benutzer
Mitglied seit
28. Dez 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
also auf seine eigenen Daten kann User natürlich engtsprechend Zugriff haben und auch die Attribute ändern, das ist ja völlig normal und gewollt
Aber doch bitte nur soweit wie seine Rechte sind. Wenn ich hier jemand mir unbekannten aus dem Internet Rechte gebe eine Datei bei mir abzulegen damit ich mir die anschauen kann sollte es diesem nicht möglich sein alle meine lokalen Benutzerkonten abzurufen inkl. Gruppenmitgliedschaft / Mailadresse / Kommentaren.
Aber gut wir werden es wohl nicht ändern können und Ihr habt mich zum Großteil überzeugt das mir das nur nicht wirklich bewusst war und ich Danke euch das Ihr so viel Verständnis hattet mir das Darzulegen.
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Wenn das doch "alle" so schlimm finden, Ticket .... :)
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
Aber doch bitte nur soweit wie seine Rechte sind.
die sind halt gegeben weil er die Datei erstellt hat

Syno gibt es seit vielleicht 12 oder mehr Jahren und bis jetzt hat niemand ein Problem gesehen, vor allem weil es auch bei anderen Systemen so üblich ist und es soll auch eine gewisse Kompatibilität bestehen
 
  • Like
Reaktionen: Stege

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
@Stege, ich empfehle dir, dass du dir erstmal das Verhalten unter Windows lokal ansiehst, bevor du das auf DSM/Samba reflektierst. Nichts anderes bildet SMB/CIFS/Samba unter Linux nach - und das funktioniert auch.
 
  • Like
Reaktionen: Stege

Stege

Benutzer
Mitglied seit
28. Dez 2022
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@Stege, ich empfehle dir, dass du dir erstmal das Verhalten unter Windows lokal ansiehst, bevor du das auf DSM/Samba reflektierst. Nichts anderes bildet SMB/CIFS/Samba unter Linux nach - und das funktioniert auch.
Danke, das habe ich durchaus vorhin nochmals gemacht daher kam ja der kleine Lichtblick das mir das so noch nicht klar war.
 

Peter58

Benutzer
Mitglied seit
30. Sep 2022
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen.
euch allen ein glückliches neues Jahr, viel Erfolg, Gesundheit und Schaffenskraft.
Zufällig bin ich heute über das hier angesprochene Problem auch gestollpert. Eingerichtet ist ein Admin-User und ein Test-User ohne Adminrechte. Der Admin hat einen freigegebenen Ordner "Testordner" angelegt. Der Test-User hat darauf Zugriff (über Filestation, DSM ist untersagt). Melde ich mich nun als Test-User an (über den Alias "/Dateien") öffnet sich im Browser die File Station. Soweit alles in Ordnung und so auch gewollt. Der Ordner "Testordner" wird angezeigt. Test-User kann einen Unterordner anlegen, soweit zu erwarten und auch gewünscht.
Nun zum Problem:
Test-User ruft Informationen über den vom Admin-User angelegten "Testordner" über Eigenschaften ab. Über den Reiter "Berechtigung" erhält er Informationen über alle im System bekannten Benutzer und Gruppen. Hier stellt sich mir die Frage, WARUM erhält er als Normalnutzer diese Informationen? Wie weiter oben bereits erwähnt, ist unter "Erweiterte Optionen/Berechtigungsprüfung/Benutzer oder Gruppe" der Sysadmin samt LoginName, Funktion im System und Emailadresse (zwar unvollständig, aber ermittelbar) aufgeführt. Warum?

Sehe ich hier etwas zu restriktiv oder übersehe ich notwendige/mögliche Einstellungen?
Vielen Dank im Voraus für eure Bemühungen mich zu erhellen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Weil er die Rechte seiner eigenen Objekte ja auch Pflegen darf (s.o). Das ist in Windows lokal auch nicht anders.
 
  • Like
Reaktionen: Benie

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@Benares was die Liste der Benutzer und Gruppen angeht stimme ich dir zu. Aber weitere Metadaten die Synology da aufführt wie die Email Adresse sollten da nicht aufgeführt werden.

Oder kannst du etwa unter Linux/Mac OS/Windows über den Dateimanager (nautilus/nemo/sonstige, Finder, Windows Explorer) Details über andere Benutzer nachsehen? Ich glaube nicht...

Also die Info die bei Kurt in #11 rechts in der Benutzerliste als hellgrau angezeigt wird.

Das ist eine unnötige Anreicherung mit Informationen die zumindest meiner Erinnerung nach so auch in früheren File Station und/oder DSM Versionen nicht gegeben war.
Die Benutzer-/Gruppenliste konnte man allerdings schon immer sehen.

Ist also schon ein Ticket wert.

@Stege wenn du nur jemand Daten bei dir ablegen lassen willst brauchst du den Zugang nicht zu öffnen. Du kannst in der File Station eine Dateianforderung erstellen. Die Person kann dir da dann was in der 'Briefkasten' werfen aber nicht selbst drauf zugreifen.
 
  • Like
Reaktionen: Stege

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Oder kannst du etwa unter Linux/Mac OS/Windows über den Dateimanager (nautilus/nemo/sonstige, Finder, Windows Explorer) Details über andere Benutzer nachsehen? Ich glaube nicht...
Du hast schon irgendwie Recht, aber auch wieder nicht.
Bei der Rechte-Zuweisung selbst zeigt Windows nur die User-/Gruppennamen an, aber z.B. über lusrmgr.msc kommt auch ein unprivilegierter Benutzer an alle Attribute eines Benutzers ran, sofern da was hinterlegt ist. Der Zugriff darauf wird also nicht verweigert. Und man ist ja auch nicht dazu gezwungen, dort auch den vollen Namen oder Mail-Adressen zu hinterlegen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Gut, bei Windows kenne ich mich inzwischen fast gar nicht mehr aus. Ist der Zugriff auf lusrmgr.msc nötig? Hat das jeder unprivilegierte Benutzer (diverse UAC Stufen, komplett ohne administrative Berechtigungen, etc.)?
Oder wäre das vielleicht über Gruppenrichtlinien eventuell unterbunden?
Zudem ist das ein weiteres Werkzeug und nicht der Dateimanager alleinig.

Und falls es doch immer Wege gibt könnte man es bei der File Station trotzdem besser machen. Ist ja eine reine Code Frage und nicht zwangsgegeben.

Spätestens wenn man 2FA Auth oder ähnliches aktiviert landet z.b. Eine Email Adresse in den Benutzereinstellungen. So ganz ohne Zwang / frei ist man also nicht.
Je nachdem wie man persönlich dann in diesem Bereich aufgestellt mit Emails kann es ein Problem sein, oder nicht.

Trotzdem bleibe ich ein Fan von Dinge im Design / Konzept schon so gut wie möglich auszulegen, wo es möglich ist, anstatt es dann hintenrum / anderswo gerade zu biegen.

Aber auch möglich, dass es vom Aufwand her eben extrem wäre, trotz/wegen Nutzung vieler Standardwerkzeuge und Software der Linuxbasis, hier Konto bezogene Metadaten besser abzutrennen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
lusrmgr.msc ist einfach Verwaltungsoberfläche für Benutzer direkt und gehört zu Windows. Man kann auch über die Computerverwaltung gehen. Und ja, auch unprivilegierte Benutzer sehen darüber alle Attribute.

Ich verstehe die Kritik immer noch nicht. Erst weitere Meta-Daten hinterlegen und dann beschweren, dass man die sieht?
Ist nicht auch unter Linux die /etc/passwd für jeden einsehbar?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat