cd ~/

Home of Daniel Graf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

cd ~/

Home of Daniel Graf

Seiten

Suche

Blog Meta

Dynamo Dresden

Galerie

Action disabled: source
blog:bug_in_2-faktor_authentifizierung_bei_synology_dsm4.2

Bug in 2-Faktor Authentifizierung bei Synology DSM4.2

Zuletzt hatte ich über die 2-Faktor Authentifizierung meiner Synology NAS geschrieben. Nun, nach einigen Tagen im Praxistest, ist mir ein schwerwiegender Bug aufgefallen.

Dazu muss man wissen, dass es grundsätzlich diese 3 WebUIs gibt:

…das Desktop User Interface …das User Interface für unterstützte mobile Browser …das User Interface für nicht unterstützte mobile Browser

Und genau bei dem User Interface für nicht unterstütze mobile Browser gibt es das Problem, dass nach der Eingabe des Nutzernamen und Passworts, man nicht nach dem Zahlencode der 2-Faktor Authentifizierung gefragt wird. Obwohl diese für den jeweiligen Nutzer aktiviert ist.

Wer sich davon überzeugen möchte, der kann seinen Disk Station Manager entweder mittels Opera Mobile aufrufen, oder seinen Browser sich als solchigen ausgeben lassen, mittels User Agent String "Opera/9.80 (Android 4.0.4; Linux; Opera Mobi/ADR-1301080958) Presto/2.11.355 Version/12.10".

Den Synology Support habe ich dazu natürlich informiert, der Erstkontakt liegt 4 Tage zurück. Allerdings kam in den ersten 2 Mails, die ich als Antwort erhalten habe, immer wieder die Aussage, dass Opera als Browser nicht unterstützt wird. Der Techniker hat die Ernsthaftigkeit dieser Lücke wohl nicht recht erkannt. Nun wurde mein Anliegen an die Entwicklung zur Prüfung weitergereicht. Ich hoffe auf Besserung.

Also: Die 2-Faktor Authentifizierung lässt sich aktuell umgehen, allerdings sollte sie weiterhin verwendet werden, da sie trotzdem zu einem gewissen Maß an Sicherheit beiträgt.

**UPDATE: Synology hat mittlerweile die DSM Firmware 4.2 veröffentlicht.

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 
blog/bug_in_2-faktor_authentifizierung_bei_synology_dsm4.2.txt · Zuletzt geändert: 2016/03/09 10:06 von Daniel Graf