Naja, da gehts ja aber schon los. HTTPS ist ja erstmal nur relevant für jemand, der die DS von außen angreift. Es sind ja aber durchaus zahlreiche Szenarien vorstellbar, wo jemand illegalerweise physischen Zugriff auf die DS und im Zweifelsfall auch auf einen PC bekommt, von dem aus auf die DS zugegriffen wurde. Und da sind wir beim nächsten Punkt: Selbst wenn ich das Anmeldekennwort der DS nicht im Browser speichere (was ich auch nicht tue), bin ich sicher, dass es durchaus Möglichkeiten gibt, Passwörter, die man im Browser eingibt, zu knacken. Jedenfalls ist das mit Sicherheit erheblich einfacher als das Knacken der AES256-Verschlüsselung der Folder. Das ist nämlich Stand heute de facto unmöglich.
Und last but not least ist mir inzw. noch ein ganz anderes Szenario eingefallen: In einer Umgebung, in der mehrere Leute die DS nutzen, ist es ja durchaus denkbar, dass sich einzelne User verschlüsselte Folder anlegen, dessen Passwort derjenige, der Admin-Zugriff auf die DS hat, nicht zwingend wissen muss. Der DS-Admin kann aber ohne Weiteres von jedem beliebigen verschlüsselten Folder, für dessen Zugriff via Filesystem er keine Berechtigung hat, einfach die Verschlüsselung entfernen, sich selbst den Zugriff auf den Ordner einräumen und hat dann wunderbar alle ehemals verschlüsselten Files im Zugriff. Letzteres, also dass er sich selbst den Zugriff auf jeden beliebigen Ordner geben kann, geht natürlich immer, und dagegen ist ja auch nichts zu sagen. Aber er müsste zum Attachen des Ordners dann ja trotzdem den Key kennen.
Meine Kritik ist letztlich einfach die, dass jeder, der Admin-Zugriff auf die DS hat, ohne Kenntnis der Verschlüsselungskeys Zugriff zu jedem verschlüsselten Ordner erlangen kann, jedenfalls sobald diese attached sind. Ob der Zugriff auf das Webinterface legal oder illegal erfolgt, ist dabei m.E. völlig ohne Belang. Sinn und Zweck einer Verschlüsselung ist ja eben gerade der, dass ein Zugriff auf die verschlüsselten Daten AUSSCHLIESSLICH demjenigen möglich ist, der den Key kennt. Und das ist hier nicht gegeben.