Sicherheitsrisiko Portfreigabe anhand des Beispiels FTP-Server

[lord1024]

Hallo Leute,

dass hinter jeder Portfreigabe in Richtung der DiskStation ein mehr oder weniger großes Sicherheitsrisiko steckt, ist wohl jedem bewusst. Allerdings ist die höchste Sicherheit, nämlich auf jegliche Portfreigabe zu verzichten, in den meisten Fällen wohl nicht sehr praxisnahe.

Ich würde daher gerne die tatsächlichen Sicherheitsrisiken anhand des Beispiels "Portfreigabe für den aktivierten FTP-Server" wissen. Die Frage interessiert mich parallel dazu aber auch durchaus für andere Anwendungen wie AudioStation, etc., allerdings möchte ich erst mal beim Beispiel FTP Server bleiben, um ein Verständnis dafür zu entwickeln.

Gebe ich also Port 21 am Router für den aktivieren FTP Server frei und ein Angreifer hat, woher auch immer, den korrekten Benutzernamen und das korrekte Passwort, hat er also imho Zugriff auf sämtliche Ordner, welche ich per DSM für FTP freigeschaltet habe. Aber imho müsste es das auch gewesen sein, oder kann der Angreifer je nach seinen Skills auch auf andere Ordner zugreifen oder gar Einstellungen im DSM ändern? Aus meiner Sicht gelten für den Angreifer doch auch klar die Benutzerrechte, welche der für FTP freigegebene User per DSM erhalten hat, oder liege ich auch da falsch?

Wenn ich das richtig einschätze, kann man das Sicherheitsrisiko doch dadurch sehr wohl praxistauglich reduzieren, indem man per FTP halt nur nicht-kritische Daten freigibt. Wenn ich mit meiner Einschätzung richtig liege, verstehe ich die Schärfe nicht, welche man in vielen Foren im Bezug auf Portfreigaben vernimmt.

Wenn nämlich für Angreifer die Rechte gelten, welche im DSM festgelegt wurden, kann ich gut auf auf die viel diskutierten Themen VPN, SSL und wie diese ganzen Abkürzungen nicht alle heißen, verzichten.

Oder liege ich mit meiner Einschätzung doch falsch?

Herzlichen DANK im Voraus für eure Expertise!

 

[Frogman]

Du musst bedenken, dass es dabei häufig nicht nur um das Einloggen und die Nutzung der zugestandenen Rechte für den entsprechenden FTP-User geht. Die Implementierung eines FTP-Servers an sich kann Lücken aufweisen, über die ein Angreifer Zugriff auf das System erhalten kann, den Du nicht freigegeben hast. Gleiches gilt auch für andere Dienste.
Grundsätzlich sollte man daher nach Möglichkeit die verschlüsselten Varianten der Dienste verwenden - somit erschwerst Du das Sniffen von Passwörtern in erheblicher Weise. Weitere Grundregel: nur die Ports freigeben, die man braucht - und nach Möglichkeit auch nur dann, wenn man sie braucht. Nur aus Bequemlichkeit die ganze Latte dauerhaft freizuschalten, ist keine gute Idee.

 

[lord1024]

Okay, das heißt aber für mich dann, dass abgesehen von 1.) Sicherheitslücken, die vielleicht seitens Synology in der FTP-Funktion des DSM verborgen sind und 2.) Sicherheitslücken, die ich selbst unbewusst mittels den DSM Einstellungen erschaffe, also beispielsweise versehentlich dem für FTP vorgesehenen User nicht nur Lese, sondern Lese- und Schreibzugriff gewähren oder auch mittels DSM Ordnerfreigaben zuteilen, die eigentlich nur meine zwei Augen etwas angehen, kann man eine derartige Portfreigabe doch ruhigen Gewissens verwenden. Habe ich das richtig verstanden? Analog dazu gilt das auch für die anderen Anwendungen?

Was das Sniffen von sicherheitsrelevanten Passwörtern angeht - das klappt ja auch nur dann, wenn es für FTP einen User gibt, der so konfiguriert ist, dass er Zugriff eben auf sicherheitsrelevante Daten hat bzw. und diese Logininformationen auch tatsächlich verwendet werden. Wenn ein derartiger User, beispielsweise das admin Konto, nicht für den Dienst FTP freigeschaltet wird, kann das Passwort auch nicht "gesnifft" werden, oder?

Schlussendlich ist mir natürlich klar, dass man in ein Haus mit verschlossenen Fenstern dennoch schneller einbrechen kann, als in ein Haus ohne Fenster. Aber ob ich mein Haus daher ohne Fenster bauen muss, darauf zielt meine Frage ab. Die richte Antwort auf diese Frage ist wohl. "Wenn du höchstmögliche Sicherheit möchtest, musst du das Haus in der Tat ohne Fenster bauen. In der Praxis können allerdings bedenkenlos Fenster in ein Haus eingebaut werden".

 

[ottosykora]

Ich denke du hast da ziemlich Recht in deinen Überlegungen.
Entweder will man einen Server oder man will es aus Sicherheitsgründen nicht. Und weil bei uns alles eben oft in der gleichen Box abläuft, kann die Isolierung etwas anstrengend sein.

Ich habe auch ein FTP am laufen. Damit es die Kollegen ohne grosse Problem auch benutzen können, ist es auch nach aussen am default Port 21.
Ja, ich habe eine Gruppe dafür erstellt und nur diese Gruppe kann den FTP Service benutzen. Es sind sogar extra User die sonst keine Berechtigungen haben.
Ob man dem Admin den Zugriff wegnehmen soll, darüber kann man sich streiten, ich würde es nicht tun.
Wichtig denke ich, es gibt nur ein Ordner welchen man mit FTP erreichen kann und das ist der extra angelegte Ordner FTP und Filestation User etc haben damit rein gar nichts zu tun. Nichts kann man sonst per FTP erreichen ausser eben den FTP Ordner.
So halte ich es zumindest normalerweise wenn ich nicht gerade irgendwelche Experimente mache.

Wegen PW sniffen, ja vielleicht kann man es etwas anspruchsvoller machen wenn man FTPS verwendet. Das geht dann zwar nicht mehr direkt aus dem Browser zum Bsp, aber jeder normale FTP Client hat es im Griff.

 

[lord1024]

Da ich hier zuletzt einiges herumexperimentiert habe, noch eine Anmerkung.

Mittels http://DeineWanIP/ kommt man doch durchaus auf 99% eurer/unserer Router-Webinterfaces bzw. trennt nur der hoffentlich vom Standard abweichende Benutzername/Passwort von der völligen Kontrolle.

Somit müssen wir uns doch ohnehin darauf verlassen, dass die Hardwarehersteller unseres Vertrauens den Benutzername/Passwort so sicher hinterlegt haben, dass man maximal mit der Brute-Force-Methode da rein kommt?

Mein Fazit ist, dass dieses Thema in den meisten Threads also viel zu heiss diskutiert wird.

Was aber vielleicht gut ist, da wahrscheinlich viele Anwender das Thema andererseits viel zu locker sehen.

Was unterm Strich dann wieder auf einen vernünftigen Schnitt herauskommt.

 

[trininja]

Problem ist einfach die strikte Umsetzung von Sicherheitsrichtlinien, die man sich setzt, bzw. den Usern. In meinem Alltag als ITler laufe ich oft genug Menschen über den Weg, die einfach aus Bequemlichkeit sich immer mit dem Adminkonto, Root Konto etc. anmelden, weil alles viel einfach ist und man bei Aufgaben, die diese Rechte benötigen nicht mit sudo und Co rumschlagen muss. Dieses Verhalten trifft auch auf eine Menge NAS Nutzer zu, beschränkt sich nicht auf Synology User.

Dazu lasche Passwort Richtlinien, die es Angreifern eh zu einfach machen per Brute, Dictionary oder sogar Rainbow Tables Passwörter zu knacken. Ziel sollte es immer sein einen Admin Account mit einem gut gesicherten Passwort zu benutzen für Verwaltungsaufgaben, zum administrieren, wie das Wort ja schon impliziert. Für alles andere eben Userkonten mit bestimmten Zugriffsrechten, bei Bedarf sogar über einen zentralen LDAP/Radius, wenn man den die Infrastruktur dazu hat. Passwörter sollten komplex sein, und 14 Zeichen sollte das minimum sein (Selbst 10 Zeichen sind heute mit entsprechender Hardware knackbar geworden in einer relativ guten Zeitspanne, Stichwort: AMD FireStream mit einer speziellen Bruteforce App. Die normale AMD APP geht auch, 4-6 AMD GPUs erreichen ca. die Leistung einer AMD FireStream GPU.)

Die Panik, die auch gerne durch Volksverdummungszeitschriften ala Computer Bild, PC Welt und wie die ganzen Möchtegern IT Blätter noch alle heissen schön oben gehalten wird, ist ziemlich unbegründet. Otto Normal Verbraucher hat keine so sensiblen Daten daheim, das die irgendwen wirklich interessieren könnten. Script Kiddies geben meistens dann auf, wenn sie mit ihren Spielzeugen nicht weiterkommen. Versierte Hacker haben andere Ziele als das NAS einer Privatperson. Und die kommen auch rein wenn sie wollen, eine Synology NAS sollte da kein Hindernis sein. Die meiste Gefahr geht eh eher von DAUs aus, die sich irgendwelche Trojaner einfangen, die mitschneiden was man so treibt und tippt.

Und Ports offen lassen oder nicht ist ne Glaubensfrage. Da ich eh auch IPv6 habe, ist es eh sinnfrei, da meine Geräte über IPv6 direkt ansprechbar sind und der Router übergangen wird. IPv4 sicher ich noch ab, hab dafür eh noch nen Honeypot rumstehen, der Abfragen, wenn sie legitim weiterleitet an die DS und ansonsten ins Nirvana jagt. Ich habe eh eine DS offen im Netz, da ist nichts wichtiges drauf, zwei DSen sind in einem anderen Subnet geparkt und somit vom Internet abgeschnitten, aber intern erreichbar. Auf einer läuft mein interner Entwicklungs und Git Server, die andere ist für sensible Daten. Da müsste sich schon jemand so durcharbeiten, das er durch den Router, durch die dedizierte Firewall, durch den Honeypot, durch den Managed Switch hindurch kommt auf den Entwicklungsrechner, der im selben Subnet steht wie die beiden isolierten DSen.

Das ist quasi schon fast ne Infrastruktur wie in ner kleinen Firma, liegt aber auch daran das ich sowas beruflich mache. Sowas hat kaum jemand daheim rumstehen. Braucht auch niemand, solange man nicht gerade Firmendokumente mit extrem sensiblem Inhalt daheim lagert, was aber eh nicht sein sollte, da Firmen mittlerweile diesbezüglich ja gute Richtlinien haben. (Wer sich nicht daran hält ist selber Schuld wenn dann mal ein Schaden eintritt. Kann auch schnell zur fristlosen Kündigung führen, alles schon erlebt auf Arbeit.)

SSL/VPN/HTTPS/FTPS würde ich nicht gerade links liegen lassen, da es sich hierbei um verschlüsselte Kommunikation handelt, die das sniffen nicht nur erschwert, sondern ausserdem auch noch fast unmöglich macht. Eine Person in der Mitte der Kommunikation kann diese zwar abfangen/mitschneiden, aber fast garnichts damit anfangen da er hierfür die Verschlüsselung knacken müsste. Was ich bezweifel, das es klappen würde ohne extrem viel krimineller Energie und entsprechendem HardwareCluster. *hust*

Wenn du wirklich sicher gehen willst, nimmst du eh ne zweite DS und trennst somit wichtige Daten von unwichtigen Daten (Public User Space/Security User Space) und verhinderst den Zugriff auf die Zweite DS für alle Nutzer die da nichts zu suchen haben.

 

[mike3k]

Naja, das mit dem "keiner interessiert sich für private Daten" halte ich für Schnulli... Die aktuelle NSA-Debatte beweist das Gegenteil und schon vorher war klar, was "Hacker" mit so einem tollen übernommenem Linux-Server (was anderes ist die DS nicht!) so alles machen können... Klar, er hat keine Power, für DDOS-Angriffe oder Mailbots reichts, denn auf die Masse kommt es an. Und nebenher sind dann dort vielleicht noch Passwörter abfishbar oder Mailaccounts -> Identitätsdiebstahl usw...

Bei FTP bietet es sich an, FTP mit SSL bzw SFTP zu nutzen. Die Box bietet es ja an, normales FTP einfach ausschalten dann...

@IPV6: Geh mal davon aus, dass der Router da Firewall spielt und die DS trotz IPV6 nicht so einfach erreichbar ist... Wenn es geht, eh lieber deaktivieren...

 

[101010]

Prinzipiell sollte man sich immer bewusst sein, dass je mehr Services freigegeben sind, mehr Risiken bestehen. Die sicherste Lösung ist immer eine offline Lösung
Wie schon geschrieben wurde, sind sichere Passwörter immens wichtig.
Selbst wenn die Portfreigaben entsprechend gesichert sind, sollte sich jeder bewusst überlegen, wie er im Heimnetz den Zugriff auf NAS und Co. absichert. Hier gibt es Anwender, die dort gerne ohne Passwort oder mit leicht knackbaren Passwörter arbeiten.

Ist man Sicherheitsbewusst, sollte man auch immer überprüfen, ob das eingesetzte System immer noch sicher genug ist. Sprich, sind Backdoors etc. bekannt geworden und wie können diese wieder gestopft werden. Irgendeine Lücke wartet immer noch darauf entdeckt zu werden. Ob es nun ein echter Bug oder eine Lücke für NSA und Co. ist. Dafür gibt es ja so gute Foren wie dieses hier

Ein aktuelles Beispiel ist hier die offene Backdoor bei diversen Netgear/Cisco Routern: Über den Port 32764 können Routerkonfigurationen und Passwörter im Klartext ausgelesen werden und schon ist man im Netz drinnen. Wer weiß, wo solche Backdoors sonst noch schlummern.

Deswegen meine unverbindliche Empfehlung: auch im internen Netz mit sicheren Passwörtern arbeiten

 

[trininja]

@IPV6: Geh mal davon aus, dass der Router da Firewall spielt und die DS trotz IPV6 nicht so einfach erreichbar ist... Wenn es geht, eh lieber deaktivieren...

Nope, tut er nicht unbedingt. Das ist ja das große "Problem" an IPv6. Die Router stellen nur noch die Internetverbindung zur Verfügung und geben den Geräten ihre IPv6 Adresse anhand des zugewiesenen Subnets, das dir vom Anbieter verpasst wurde. Jedes Edngerät hat somit eine öffentliche IP und fungiert quasi als Exposed Host. Einige Router besitzen eine IPv6 Firewall (AVM Fritz!Boxen ab glaub Fritz!OS 5.5, aber nicht alle, die Kabelboxen wie meine 6360 erst seit 6.0, ergo heute nacht. Davor hat sie alles durchgelassen von aussen.), andere haben garnicht erst die Möglichkeit dazu und lassen alles durch, wieder andere blockieren alle Zugriffe ausserhalb des eigenen LANs und lassen sich auch nicht umstellen. Und dann gibt es noch Toredo, Admins Albtraum, da sich Toredo durch Firewalls durchbohrt. AVM hat da nun mit Fritz!OS 6.00 (Gerade heute frisch auf meiner FB 6360 angekommen.) die Option Toredo blockieren eingebaut, die diese Pakete analysiert und vollständig blockiert.

Das Thema IPv6 ist ziemlich mies, da du zwar schon einige Router in freier Wildbahn hast, die über Sicherheitsmechanism verfügen, es aber noch ne Menge gibt, die entweder garkeine oder extrem schlechte Umsetzungen auch haben. Sehr kontrovers das Thema, und nur weil die 7270 und jetzt seit 6.00 auch die 6360 eine IPv6 Firewall haben heisst es nicht das alle Fritz!Boxen die bekommen, vor allem bei der 6360 für die Kabelanbieter kommst du in nen Teufelskreis, da die Anbieter die Basis Firmware von AVM bekommen und dann anpassen wie sie es brauchen, also Funktionen aktivieren oder deaktivieren und noch den eigenen DOCSIS 3.0 Firmware Code mit einbauen. Eine Unitymedia 6360 hat nicht dieselben Funktionen freigeschalten wie meine Kabel BW 6360 (Trotz das beide Firmen ja nun ein Unternehmen sind, aber die Netztechnik ist doch noch unterschiedlich, hab bei kabel BW gearbeitet ein paar Jahre lang und weis wie das funktioniert. ) Und sorry das ich hier gerade Bezug auf AVM nehme, anderen Routern trau ich schon lange nimmer seit ich nem D-Link über nen Browseraufruf mit nem Link dazu bringen konnte das Passwort zu ändern und den Webzugriff zu öffnen.

Wenn man danach geht was die NSA und Co so treiben am besten Inselsysteme daheim aufbauen. Das wir abgehört werden weis eigentlich jeder User mit etwas Hirnrinde seit Mitte/Ende der 90er, da brauchte es keinen Edward Snowden. Alleine Echelon sag ich da nur. Seitdem ist jedem leicht paranoiden ITler klar wo das hinführt. Welche Dimensionen das Ganze hat, das wusste nur niemand. Und das Szenario mit übernommenen Servern ist auch so ne Sache, passiert meistens bei Leuten, die aus einem eigentlich recht abgesicherten System nen Schweizer Käse machen oder aber vergessen zu aktualisieren wenn ein neuer schwerer Exploit bekannt wird, am besten in Kombination mit dem Schweizer Käse.

 

[Frogman]

...AVM hat da nun mit Fritz!OS 6.00 (Gerade heute frisch auf meiner FB 6360 angekommen.) die Option Toredo blockieren eingebaut, die diese Pakete analysiert und vollständig blockiert.....

Hierzu sei ergänzt, dass AVM vor der 6.0er Teredo gemäß RFC komplett unterbunden hatte - dass nun die Option aufgetaucht ist, das händisch aktivieren/deaktivieren zu können, ist nur ein Zugeständnis an die Jungs aus Redmond mit ihrer beknackten Multiplayer-Implementierung der XBox One (ein grandioses Beispiel, wie sich ein global Player über Standards hinwegsetzt).

 

[trininja]

Hm, jain, die 6360 von Kabel BW hat Toredo durchgelassen vor 6.00, das wurde so entschieden bei KBW und dann auch in der F/W angepasst, aktuell mit der letzte Nacht bei mir aufgespielten 6.00 ist es aber standardmässig aktiviert.

 

[Frogman]

Umso schlimmer, wenn irgendwelche TV-Pappnasen da an Hardware herumpfuschen und dann weder informieren noch dem User die Wahl lassen...

 

[mike3k]

Gut, mit den Kabelboxen kenn ich mich nicht aus. Aber bei den wenigen, die am DSL schon v6 haben, blockten eigentlich alle Router. Und die meisten waren keine frisch gekauften Geräte. Und die genannte 7270 ist ja auch schon älter, für die gabs noch ein v6 update? Der speedport hat ja bis heute nix bekommen, gut so . Aber wie gesagt, v6 ausschalten, wo es geht und gut ist (Wie geht das in der DS?).

 

[hopeless]

Mittels http://DeineWanIP/ kommt man doch durchaus auf 99% eurer/unserer Router-Webinterfaces bzw. trennt nur der hoffentlich vom Standard abweichende Benutzername/Passwort von der völligen Kontrolle.

Der Satz macht mich jetzt stutzig, ich hoffe mal nicht das so viele Router standardmäßig ihr Webinterface auf port 80 in Internet präsentieren.

 

[Frogman]

Aber bei den wenigen, die am DSL schon v6 haben, blockten eigentlich alle Router. Und die meisten waren keine frisch gekauften Geräte. Und die genannte 7270 ist ja auch schon älter, für die gabs noch ein v6 update? .

Blocken die Router was? Und wovon redest Du bei "waren die meisten keine frisch gekauften Geräte..."? Für die Fritzbox 7270 ist aktuell noch keine 6.00-Firmware verfügbar, die wird jetzt erst irgendwann im Januar kommen.

 

[jahlives]

Mittels http://DeineWanIP/ kommt man doch durchaus auf 99% eurer/unserer Router-Webinterfaces bzw. trennt nur der hoffentlich vom Standard abweichende Benutzername/Passwort von der völligen Kontrolle.

würde mich wundernehmen woher diese Zahl kommen soll. Klar gibt es Hersteller die die Webverwaltung offen haben, aber viele Hersteller lassen dies in den default Einstellungen mittlerweile sein

SSL/VPN/HTTPS/FTPS würde ich nicht gerade links liegen lassen, da es sich hierbei um verschlüsselte Kommunikation handelt, die das sniffen nicht nur erschwert, sondern ausserdem auch noch fast unmöglich macht. Eine Person in der Mitte der Kommunikation kann diese zwar abfangen/mitschneiden, aber fast garnichts damit anfangen da er hierfür die Verschlüsselung knacken müsste.

kommt drauf an wie er in der Mitte hockt Macht er einen MitM auf SSL kann er die Daten sehr wohl unverschlüsselt haben. Dann liegt es an den beiden Endpunkten das zu erkennen. Und viele User klicken bei einer Zertifikatswarnung (und das ist das einzige was man als Warnung zu sehen bekommt) einfach auf "Ausnahme hinzufügen". Zudem, wie die Vergangenheit gezeigt hat, kann man bei den CA u.U. einsteigen und sich sogar ein vertrauenswüdiges Zertifikat für google machen. Das ist schon vorgekommen und kann fast nicht erkannt werden. Oder weisst du auswendig wer die korrekte CA für google ist? ;-)

Ich verstehe, dass man in diesen Fällen oft von der NSA spricht/schreibt. Aber seid ihr euch bewusst, dass Provider verpflichtet sind auf Anfrage fast jeden Traffic auszuleiten? Dabei werden die juristischen Hürden immer tiefer. Das geht weit über Vorratsdatenspeicherung hinaus

 

[trininja]

würde mich wundernehmen woher diese Zahl kommen soll. Klar gibt es Hersteller die die Webverwaltung offen haben, aber viele Hersteller lassen dies in den default Einstellungen mittlerweile sein

Mir war so, als wäre das sogar schon seit ca. 2000 rum, das die meisten Hersteller das per Default abgestellt haben und als Option ins Interface gepackt haben. Gab zwar immer mal schwarze Schafe, aber meistens waren das die Vollpfo...profis von irgendeinem Provider, die ne eingekaufte Kiste mit ihrer angepassten FW versorgt haben (o2 war da mal ganz große Klasse drin anfangs.).

kommt drauf an wie er in der Mitte hockt Macht er einen MitM auf SSL kann er die Daten sehr wohl unverschlüsselt haben. Dann liegt es an den beiden Endpunkten das zu erkennen. Und viele User klicken bei einer Zertifikatswarnung (und das ist das einzige was man als Warnung zu sehen bekommt) einfach auf "Ausnahme hinzufügen". Zudem, wie die Vergangenheit gezeigt hat, kann man bei den CA u.U. einsteigen und sich sogar ein vertrauenswüdiges Zertifikat für google machen. Das ist schon vorgekommen und kann fast nicht erkannt werden. Oder weisst du auswendig wer die korrekte CA für google ist? ;-)

Ja, das ist auch alles möglich. Frage ist halt, für was man diesen Aufwand betreibt? Will einer meine privaten Bilder haben, die Videos vom letzten Festival Besuch in Wacken mit lauter netten Alkis drauf? Also so Paranoid bin ich schon, das ich auf der DS, auf die ich übers Netz offen zugreife keine wichtigen Daten habe. Wie gesagt, das ist bei mir in getrennten Subnetzen verteilt mit ner ded. Firewall und nem Honeypot dazwischen für die beiden DSen mit den wichtigen Daten. Die haben mal vor Jahren Internetluft geschnuppert. Seitdem nie wieder. ^^

Ich verstehe, dass man in diesen Fällen oft von der NSA spricht/schreibt. Aber seid ihr euch bewusst, dass Provider verpflichtet sind auf Anfrage fast jeden Traffic auszuleiten? Dabei werden die juristischen Hürden immer tiefer. Das geht weit über Vorratsdatenspeicherung hinaus

Ohja, da kann ich nen Lied von mitsingen. Interessant wird es aber erst dann, wenn du Live Traffic ausleiten musst, da keine Trafficlogs existieren, dann wirds erst richtig böse. Hab ich schon erlebt, richterliche Anordnung zum ausleiten von Traffic für 3 IPs von Kunden. Grausam was die alles dürfen und die Anbieter gehen eigentlich fast alle drauf ein, ziemlich schnell.

 

[lord1024]

Diese 99% waren nur eine Vermutung von mir, aber ist ja nur gut, wenn ich damit falsch liege.

Was mich jetzt back to topic noch interessieren würde.

Ist denn die Länge/Komplexität des Admin Passworts relevant, wenn man für FTP nur einen einzigen Account mit entsprechender Zutrittsberechtigung angelegt hat, welcher NICHT der Admin-Account ist?

 

[trininja]

Wenn du Daten zur Verfügung stellst die nicht für jederman zu haben sein sollen und auchnoch Schreibrechte im Spiel sind, und sei es nur auf ein begrenztes Verzeichnis, ja. Und um das Ganze anders zu beantworten: Entweder sicheres komplexes Passwort, oder man sollte sich erst garkeine Gedanken zur Sicherheit machen wenn man schon daran sparen will.

 

[lord1024]

Okay, und warum?