Synology-Forum.nl

Firmware => Synology DSM BETA versies => Topic gestart door: Briolet op 15 oktober 2017, 16:41:45

Titel: Vreemde inlog
Bericht door: Briolet op 15 oktober 2017, 16:41:45
Na de voordeur geschilderd te hebben (Mooi weer vandaag), haal ik mijn laptop weer uit slaapstand. Mijn laatste actie voor de slaapstand was uitloggen uit dsm 6.2, waarbij de autofill mijn wachtwoord alweer ingevuld heeft.

De pagina komt terug met:

[attachimg=1]

Als ik vervolgens op sluit klik, begint hij in te loggen, terwijl dat helemaal niet de bedoeling was. (Bug?)

Oef, gelukkig gebruikte ik een https verbinding. Uit de melding maak ik op dat de nas normaal nooit het wachtwoord doorgeeft, maar een hash, die blijkbaar gesalted is met een tijdcode.

Dit is hetzelfde systeem wat dit forum gebruikt. Dit forum komt dat echter terug met de melding dat het wachtwoord ongeldig is, en ik moet het opnieuw ingeven. DSM stuurt dan blijkbaar het wachtwoord zelf over en DSM accepteert dit ook. Slordig, maar blijkbaar een bewuste keuze van Synology. In elk geval netjes dat dit gemeld wordt.

Edit:
Onder dsm 6.1 is de foutmelding:
"error_key_invalid": "Ongeldige coderingssleutel"
Onder dsm 6.2 staat de nieuwe melding:
"error_key_invalid": "Aangezien de coderingssleutel ongeldig is, werd het wachtwoord doorgestuurd als platte tekst zonder codering."Het lijkt er inderdaad op die hier iets veranderd is in dsm zelf. Of hebben ze de foutmelding alleen duidelijker gemaakt?
Titel: Re: Vreemde inlog
Bericht door: Gerard 1 op 09 mei 2019, 22:17:19
Probeer nu ook in te loggen op mijn DS215...en zie dezelfde melding , maar kan gelukkig wel inloggen! Waar gaat die platte tekst dan precies naar toe?

Gerard
Titel: Re: Vreemde inlog
Bericht door: Briolet op 10 mei 2019, 00:09:53
Op de nas staan geen wachtwoorden, allen de hash van wachtwoorden. (dit zijn gecodeerde wachtwoorden).

Normaal wordt het ingevulde wachtwoord via een script al in de browser gehashed. Dus ook als je via http inlogt en de inlog wordt onderschept, dan nog heeft men je wachtwoord niet.
Blijkbaar zit er code op de pagina, dat als hashen niet lukt, hij gewoon het ingetike wachtwoord doorstuurt, waarna de nas er een hash van maakt, om je vergelijken met de opgeslagen hash.

NB. Dit forum doet hetzelfde. Je wachtwoord wordt nooit verstuurd, maar al in je browser gecodeerd en dan pas doorgestuurd.