Security bug in Safe Access?

[Babylonia]

Eigenlijk verbaast het me dat er niet veel meer last van hebben.
Niet iedereen gebruikt Safe Access, denk ik.

Ik heb het standaard wel aanstaan, maar ben nog geen vreemde meldingen tegen gekomen.
Het kan natuurlijk ook zijn dat ik heel andere websites bezoek dan jullie,
en eigenlijk nog geen geen websites met Let's Encrypt certificaten ben tegen gekomen?

[Briolet]

Ik denk dat deze foute url sinds een paar dagen weer uit de lijst van Phishing sites gehaald is omdat op het Engelse forum gemeld wordt dat de waarschuwingen plots weer verdwenen zijn.

Synology beweerd dat zij er niets aan kunnen doen omdat het externe lijsten zijn. Maar dat klopt niet helemaal. Ik heb een update van de lijsten gedaan, terwijl Wireshark meekeek. Hij legt verbinding met "srmdownload.synology.com" en de hele update verloopt via dat domein.

Het zal zeker zo zijn dat synology die lijsten zelf niet samenstelt, maar omdat de download via hun domein loopt, kunnen ze er zelf aanpassingen aan doen voordat de lijst naar de router gaat. Dat is ook precies wat ik met het adblokker-script voor de dns server op mijn nas doe. Ook daar worden publieke lijsten opgehaald, maar er gaat wel een whitelist filtering overheen voordat hij naar de dns server gaat.

[GerardR]

Het klopt dat de waarschuwingen sinds enkele dagen weer verdwenen zijn.
Toch wel enigszins kwalijk dat Synology zonder enige vorm van controle de lijsten doorstuurt.

[Briolet]

Ik kan me voorstellen dat ze niet elk domein kunnen controleren die aan zo'n lijst toegevoegd wordt. Wat dat betreft moeten ze ook de samensteller kunnen vertrouwen.

Alleen heeft het me hogelijk verbaasd dat ze bij mijn melding niet direct gereageerd hebben om die url uit de lijst te krijgen. Als ze dat al niet zelf kunnen, kunnen ze het doorspelen naar de samensteller van die lijst. In plaats daarvan wilden ze in mijn router kijken. (ik snap nog steeds niet wat ze daar aan zouden hebben)

[Babylonia]

Buiten Synology zullen allerlei andere leveranciers van netwerk controle apparatuur van dezelfde lijst gebruik maken.
Verwacht dat dergelijke meldingen dus ook via andere bronnen bij de samenstellers van die lijst terecht komen.

Om dan individueel als leverancier nog apart een whitelist te maken is feitelijk dubbelop,
en ondermijnt dan uiteindelijk weer de originele lijst.  Dat Synology niet zelf aan die lijst gaat morrelen kan ik dus wel begrijpen.

Dat jij als melding op het support ticket van een "1e lijns" medewerker, dan een suggestie krijgt om in de router te kunnen laten kijken.
Tja. de "echte" ontwikkelaars en mensen die een goed antwoord zouden kunnen geven, zitten wat "dieper weg" in de organisatie.
Maar denk dat uiteindelijk vanuit het Engelse forum door Synology zeker wel signalen naar de originele samensteller van de lijst zijn gegaan?