Poważny błąd w zabezpieczeniach
: ndz lip 24, 2016 9:49 pm
Chciałbym opisać znaleziony błąd w tej aplikacji. Posiadam DS 210+ oraz DS 916+. Na jednym DSM w wersji 5 a na drugim w wersji 6. W obu przypadkach występuje ten sam błąd. Mianowicie, dostępem do katalogów w folderze "photo" zarządza się z pod poziomu pakietu photo station. Niestety nie działa to w przypadku serwera multimediów. Posiadam smart tv firmy samsung. Jest tam w menu opcja do przeglądania zawartości udostępnionych w sieci do mowej (DLNA/UnPnP). W momencie gdy w DSM uruchomimy serwer multimediów telewizor ten widzi tego typu katalogi jakie znajdują się na serwerze NAS. Czyli muzykę, video i zdjęcia. Wchodzę w katalogu muzyki i telewizor wyświetla napis brak zawartości. Wchodzę w katalog z video i jest podobnie. I tak powinno być gdyż nie mam tam publicznego dostępu. Tylko określone konta na DSM mają dostęp do tych katalogów. Niestety wchodzę do katalogu photo i wszystko jak na dłoni. Można przeglądać całą zawartość tego katalogu. Dodam iż w katalogu photo nie mam żadnego katalogu z dostępem publicznym. Wszystkie katalogi mają status prywatne. Z ciekawości utworzyłem nowy katalog, tylko tym razem zabezpieczony hasłem. Niestety skutek ten sam. Za pomocą telewizora mogę wejść do katalogu zabezpieczonego hasłem bez jego podawania i przeglądać całą jego zawartość. Dla mnie dość poważny błąd. Gdyż każdy kto się podepnie do sieci może przeglądać prywatne zdjęcia.
Nie mogłem poszukać na tym forum działu do zgłaszania błędów dlatego opisuję to tutaj. Wydaje mi się że jest to błąd w aplikacji photo station gdyż do katalogów zarządzanych bezpośrednio z DSM telewizor nie ma dostępu (myzka, video). Natomiast do katalogu photo nie można przypisać uprawnień spod poziomu DSM, trzeba zrobić to z aplikacji photo station. Stąd wnioskuję iż problem leży właśnie po stronie tej aplikacji.
Nie mogłem poszukać na tym forum działu do zgłaszania błędów dlatego opisuję to tutaj. Wydaje mi się że jest to błąd w aplikacji photo station gdyż do katalogów zarządzanych bezpośrednio z DSM telewizor nie ma dostępu (myzka, video). Natomiast do katalogu photo nie można przypisać uprawnień spod poziomu DSM, trzeba zrobić to z aplikacji photo station. Stąd wnioskuję iż problem leży właśnie po stronie tej aplikacji.