Neu am QuickConnect ist nicht die Technik, sondern, dass jetzt QuickConnect auf die übrigen Synology-Pakete und das DSM selbst erweitert ist. Die Unsicherheit der Technik bestand schon vorher. Ich sehe das inhaltlich übrigens genauso, was den Sicherheitsaspekt angeht. Solange aber QuickConnect nicht verpflichtend ist, soll es mir egal sein, da hat dann jeder die Wahl. Laut Synology nimmt die DS nicht am QuickConnect-Service teil, solange keine ID erzeugt wird. Bereits erzeugte IDs werden "stillgelegt", wenn man den Dienst deaktiviert. Wenn wir also nicht das LG-Problem bei Fernsehern haben (ging kürzlich durch die Presse, trotz deaktivierter Funktion wurden fleißig Daten an LG verschickt), ist alles gut.
Ich nutze meine DS so, dass über eine vorgelagerte Fritz!Box ein IPSec-VPN aufgespannt wird. Smartphoneseitig läuft bei mir Android mit VPNcilla, so dass eine dauerhafte VPN-Verbindung zur Fritz!Box besteht (dies kann so konfiguriert werden, dass nur der Verkehr zum eigenen LAN über den Tunnel läuft und der Rest über den Mobilfunkprovider) und die DS damit sozusagen "intern" über ihre LAN-IP erreichbar ist (auch für alle DS-Apps). Sämtliche Webinterfaces der DS sind nur über den Tunnel erreichbar mit Ausnahme des Zarafa-Webmail. Dies ist aber zusätzlich abgesichert durch HTTP Basic Authentication (.htaccess-Datei im entsprechenden Webverzeichnis). Das erzwingt zwar eine doppelte Passwortabfrage (1x anmelden am Apache wg. HTTP Basic Authentication, 1x danach bei Zarafa Webmail), aber damit kommen Dritte nicht auf die Idee, munter Zugangskombinationen für mein Zarafa auszuprobieren.
