QNAP Checkmate

[rednag]

Aus gegeben Anlass:

https://www.qnap.com/en/security-advisory/QSA-22-21

Mal wieder QNAP. Aber SMB sollte man natürlichauch nicht im WAN propagieren.
Ist eine rein subjektives Gefühl, aber über QNAP - Sicherheitslücken wird alle 2-3 Wochen berichtet.
Glaube andere Hersteller haben das besser im Griff.

 

[tiermutter]

SMB wird ja nicht von QNAP gebaut oder umgestrickt... Solange das Protokoll betroffen ist, ist halt alles gefährdet was dieses Protokoll (in betroffener Version) verwendet. QNAP sind in der Welle halt das Ziel, vermutlich nicht zuletzt weil so viele davon so einfach aufzuspüren sind...

 

[rednag]

SMB wird ja nicht von QNAP gebaut oder umgestrickt...

Bei manch Implementierungen von QNAP bleibt nicht mehr viel vom Orginal übrig.
Und jeder Hersteller hat auch seine Probleme. Bei QNAP ist das aber irgendwie an der Tagesordnung.
Ich bleibe bei meiner Meinung. QuTScloud, QTS, QuTS hero, QVR, QHora, QSW, QuWAN, QSS, QBeit, QVPN., QuRouter OS...da muß zwangsläufig was auf der Strecke bleiben.

 

[UdoAA]

Mir sind bekannte Sicherheitslücken, die dann gefixt werden, lieber als wenn ich nichts höre und dann in falscher Sicherheit wiege.
Jeder Hersteller kämpft damit.
Das QNAP zwar offene Flanken hat, ist richtig, aber wenn man die Regeln zur Sicherheit beachtet, dann passiert nicht so viel.
Und SMB ins WAN zu stellen ist fahrlässig.

 

[rednag]

Stimme da mit Dir schon überein. Es kommt halt aber auch darauf an wie der Hersteller Funktionen anpreist. Eben kürzlich erst wieder gesehen bei der Installation einer vQuTScloud. In etwa:

Greifen sie von überall auf der Welt mit vielfältigen Möglichkeiten bequem mit zahlreichen Apps auf ihre Daten zu.

Und woher soll jetzt der etwas unbedarfte User wissen welche Möglichkeiten sicher sind? Welches Protokoll sicher ist? Welche der zahlreichen Apps sicher sind? Wie man die Zugänge möglichst sicher anbietet? Der Anwender hat sich das Gerät vermutlich angeschafft um nicht von Clouds abhängig zu sein. Er vertraut diesem Hersteller. Und jederzeit Zugriff auf seine Daten zu haben ist doch 2022 nichts besonderes mehr Meine Syno ist auch extern erreichbar. Aber nur die File Station und nicht das gesamte DSM. Und das sogar ohne VPN.

Ich sehe hier schon den Hersteller in der Pflicht.

 

[Barungar]

Ich weiß nicht... ich sehe schon den Anwender eher in der Pflicht. Wenn ich als Hersteller von Qualitätsmessern werbe: "Schneidet einfach alles, schnell und bequem"... Dann ist für mich auch der Anwender schuld, wenn er sich den Daumen abschneidet.

Und wie Justizia schon seit Jahrhunderten sagt: "Unwissenheit schützt nicht vor Strafe"... Ein "Ich habe es nicht gewusst" ist für mich eher ein Zeichen von Ignoranz und kein Grund für Mitleid.