synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяФайловый Сервер › Свободный доступ всех кто хошь к общей папке? Дыра безопасности?

Свободный доступ всех кто хошь к общей папке? Дыра безопасности?

hafis · 01.09.2014

Итак, имеем DSM 5.0

 

Создали общую папку.

Права доступа - только администраторам.

Положили туда файл.

Естественно этот файл не может быть скачан по самба, фтп и вебдаву без авторизации.

Прекрасно.

 

 

 

Идем в свойства файла.

Копируем адрес ссылки для скачивания (которая в виде http://(имяустройства).myds.me:5000/fbdownload/...)

Пытаемся качать, просит логин и пароль доступа.

Прекрасно.

 

 

 

Теперь идем в контекстном меню (по правой кнопке мыши) в самый нижний пункт - обмен ссылками на файлы.

Там генерится ссылка вида

http://gofile.me/29nJG/wbHbfcTJ

http://gofile.me/29nJG/VH0ygefZ

 

Пробуем закачать с помощью ее.

И... барабанная дробь.... прекрасно скачивается с чужого компьютера, и даже логин и пароль доступа к файлу не просит. Что это означает?

Получается, что некий сервис gofile.me имеет АБСОЛЮТНО СВОБОДНЫЙ ДОСТУП к моему ресурсу, изначально явным образом разрешенный мной только администратору системы?

Что это было, Бэрримор?

 

Кто-нибудь может объяснить механизм такой либеральности DSM,

с помощью которого обеспечивается "черный вход" к файлам со стороны http://gofile.me

в обход установленных явным образом системных (!) разрешений на доступ?

 

 

:blink:

 

Заранее спасибо.

 

 

_________________________________________________________________________

 

UPD.

Обсуждение показало, что часть народа начинает рассказывать почему так получается, оперируя исключительно интерфейсом настройки DSM. Коллеги, я знаю интерфейс DSM, и как сделать ссылку общего доступа оперируя как пользователь.

Но, требуемое объяснение вопроса лежит несколько глубже. А именно:

как во внешний мир файл отдается на уровне файловой системы без логина и пароля?

 

 

 

sidor_ii · 02.09.2014

Да, тема интересная....

причем если файлу по ssh дать права на доступ к нему только пользователю root.

то все равно файл отдается без пароля и логина.

 

 

Madnicks · 02.09.2014

Но Вы же ссылку собственноручно сгенерели, точнее система по Вашему требованию.

Более того, если включить пункт "безопасный обмен"

 

http://s017.radikal.ru/i432/1409/40/806006a6867c.jpg

 

то получаем следующее

 

http://s017.radikal.ru/i418/1409/28/ff2e015331cd.jpg

 

sidor_ii · 02.09.2014
Но Вы же ссылку собственноручно сгенерели, точнее система по Вашему требованию.

Более того, если включить пункт "безопасный обмен"

Про галку и пароль понятно и ссылку сами сделали..... но

интересует сам механизм...

доступ к папке и файлу возможен только по пароль, такова политика учетных записей в НАС.

я специально по ssh вытавлял права на файл только для owner (root )

Тогда что получается, при генерации ссылки участвует логин и пароль root ?

файл же скачивается с НАС.

Madnicks · 02.09.2014
Тогда что получается, при генерации ссылки участвует логин и пароль ?

файл же скачивается с НАС.

Участвует, только в том плане - кто конкретно может генерить ссылки, не более.

А логика такова, что это ссылки для быстрого расшаривания файлов кому угодно. И я считаю - это очень удобно.

Друзьям заводим пользователей. Ну а если что по-быстрому кинуть кому-нибудь - пожалуйста, ссылочки за 5 секунд без всякой мороки.

 

sidor_ii · 02.09.2014
Участвует, только в том плане - кто конкретно может генерить ссылки, не более.

А логика такова, что это ссылки для быстрого расшаривания файлов кому угодно. И я считаю - это очень удобно.

Друзьям заводим пользователей. Ну а если что по-быстрому кинуть кому-нибудь - пожалуйста, ссылочки за 5 секунд без всякой мороки.

Ни кто не спорит что не удобно.

Все правильно пишите.

Но ... что меняется в системе, когда файл с правами доступа только для пользователя root и ни кому больше даже в группе вдруг становится доступен при расшаривании его. ( права на файл не меняются )

и если не включил "срок действия" то как отключить полные права на файл ?

Madnicks · 02.09.2014

Ну, вероятно, генерация ссылок имеет больший приоритет, в сравнении с расстановой прав.

Логично предположить, что если файл нужно расшарить в общий доступ, то он должен иметь соответствующие права. (т.е. для всех) Ибо человек будет качать без логина и пароля.

Расстановка приоритетов исходит из того, что Вы сами генерируете ссылку не под дулом пистолета, а делаете это осознанно. И случайно сгенерировать такую ссылку просто невозможно.

И наверно это тоже правильно.

Представьте, Вам потребовалось быстренько кинуть человеку файл, а у Вас самого внезапно к нему не оказалось доступа :blink: (если Вы, например, вошли как юзер, а не админ)

 

 

да... как вернуть права...

а хз))

предполагаю, что вручную, если срок действия не установлен.

Siroc-co · 02.09.2014
и если не включил "срок действия" то как отключить полные права на файл ?

О каких таких "Полных" правах вы говорите? Полные права имеет root, админ, и те, кто имеет учётки в DSM которым эти права даны из под root и админ. Что Вас беспокоит, непонятно. Если Вы дали права только для root, то никто другой не может дать ссылку на этот файл, уже просто потому, что не увидит этого файла. Если Вы дали ссылку, и не указали пароль, считайте что Вы дали кому попало (Guest) доступ на этот файл. Вы и только Вы.

Или Вы как себе представляете этот механизм? Чтобы расшарить кому-либо доступ на какой-нить файлик, ему теперь учётку в DSM заводить и прописывать права на этот файл? Или гостя давать?

По-моему всё правильно сделано. Ты, админ или просто юзер, имеющий доступ к своим файлам, можешь поделиться ими(это, кстати, можно выключить для юзеров). Без гемороев. Без "попросить админа", без всяких замудрений с правами доступа. А если хочешь лично, задай пароль на расшареный файл.

 

И никаких прав, кроме как скачать, на расшаренный файл нет ни у кого. Если Вас интересует как отнять эти права, то это делается тут:

File Stations -> Инструменты -> Диспетчер ссылок общего доступа.

hafis · 02.09.2014

Коллеги!

Никто не говорит, что это (ссылки общего доступа) неудобно.

Это архиудобно.

 

Но,

это архиудобство формируется тем, что извне открывается свободный доступ на файл, несмотря на то, что вся папка закрыта для всех, кроме админа.

 

 

Объяснений тут может быть три.

1. Ресурс gofile.me имеет более высокий приоритет доступа, нежели root-пользователь Синолоджи. Кстати, а каков у него пароль?

2. Ресурс gofile.me просто пользуется люком в DSM, и ему пофигу на разные там устанавливаемые в синолоджи права... (а чо, тоже может быть...)

3. пользователь Синолоджи сбрасывает все права, установленные для файлов, и открывает их для гостевого доступа, вне зависимости от настроек прав на папке.

 

Мне кажется, все три варианта довольно стремные для секюрности,

не?

 

Или, там применен какой-нить иной механизм, типа копирования файлов, на которую даются ссылки, в какую-то служебную область (назовем ее "каталог для гостевых ссылок" у которого права гостевого доступа вшиты в DSM? Но, это маловероятно, я давал ссылки на многосотмегабайтные архивы, все делается мгновенно, то есть файлы остаются в "формально закрытых от посторонних" каталогах.

Вот это и смущает.

 

 

 

Если Вы дали ссылку, и не указали пароль, считайте что Вы дали кому попало (Guest) доступ на этот файл

 

Собственно смущает то, что в такой ситуации происходит мешанина (несоответствие) прав доступа на всю папку, и прав доступа на файл.

То есть, перестает соблюдаться иерархия прав. Это нормально, да? Я считал, что чтобы скачать файл гостю нужно иметь как минимум readonly доступ И на просмотр содержимого папки. А мы как бы считаем, что к папке имеет доступ только авторизованный пользователь. По крайней мере считали, пока не появилась эта фича с ссылками.

 

Я тут специально абстрагируюсь от попытки защититься через паролирование ссылки.

Дело тут отнюдь не в том, что "можно запаролировать ссылку".

Дело в том, что если не паролировать, то образуетя потенциальная дыра,

в виде фактической возможности свободного просмотра гостями папки, где файл лежит.

Несмотря на то, что папка якобы закрыта от гостей.

Разве не так?

 

 

 

hafis · 02.09.2014

Второй интересный момент

состоит в следующем.

 

Допустим что мы имеем папку, которую просматривать может только root.

Допустим этот root-пользователь взял и сформировал ссылку свободного (и, без пароля) доступа к одному из файлов в этой папке.

И, мы можем скачать его используя ссылку типа gofile.me/...... без пароля.

что само по-себе забавно, но уже не суть.

 

 

Но, у меня в системе все пользователи - с паролями (сложными)

А гости вообще отключены.

Но файл скачивается.

 

 

Вопрос: и под каким же пользователем осуществляется такое скачивание из системы? Какого пользователя использует gofile.me для такого забавного действа?

Получается в DSM кроме гостей (которых можно отключить) есть еще какой-то гостевой пользователь, о котором мы явным образом не знаем, и которого отключить невозможно? и, через которого этот самый gofile и работает? А мы про этого внедренного пользователя ничего не знаем...

Так?

 

 

 

Madnicks · 02.09.2014

Я не понимаю, к чему вообще это всё поднято и написано. Очень многабукав.

У меня в данный момент сгенерировано минимум ссылок 12 наверно, причём с постоянным сроком действия болтаются. Вы сможете у меня скачать что-либо? Сомневаюсь. Вы даже доменное имя не знаете, не говоря уже про саму ссыль. Подбирать её будете? Карты таро раскинем может?

Нет никакого "внедрённого пользователя", нет никакого страшного чёрного человечка. Это просто-напросто фишка системы.

Если уровень паранои совсем зашкаливает, просто не пользуйтесь данной фичей, делов-то.

Это разговор ни о чём. Тема высосана из пальца.

hafis · 02.09.2014
Я не понимаю, к чему вообще это всё поднято и написано. Очень многабукав.

 

 

Окей, Ваша позиция понятна.

Спасибо что Вы ее высказали.

 

 

Но, это не проясняет механизмов, задействованных в операции "отрываем доступ через публичные ссылки"

В таком случае, лучше подождать ответов тех людей в теме, которые понимают, к чему это вообще написано.

 

 

Извините, у каждого из нас разный состав данных на своих синолоджи, и уровень паранойи.

Кто-то только домащний музон держит и фотки с пьянок. А кто-то серьезные коммерческие данные, к примеру. Если кого эта тема не волнует, он может просто не участвовать в обсуждении.

Заранее прошу прощения за банальность.

 

 

sidor_ii · 02.09.2014
О каких таких "Полных" правах вы говорите? Полные права имеет root, админ, и те, кто имеет учётки в DSM которым эти права даны из под root и админ.

Я говорю о правах с которыми gofile.me отдает мой файл.

Да, я осознаю что сформировал ссылку для публичного доступа на файл.

Но с другой стороны этот файл лежит на НАС с правами root и доступом только root пользователю ( я принудительно выставил такие права ).

Вопрос просто стоял в одном, как происходит взаимодействие gofile.me и наса, что файл с правами root отдается по сформированной мною ссылке без запроса пароля root

XerSonik · 02.09.2014
Imperator · 02.09.2014

Не открывать наружу 5000 порт и никаких дыр. А файлы во вне через ftp отдавать.

polanat · 02.09.2014

Стесняюсь спросить, а галка "Включить QuickConnect" у Вас стоит?

 

PS hafis(z), зачем сливаете статику? Включайте автоматическую блокировку в Панели управления и готовьтесь наблюдать как растёт список блокировок :(

 

PSS 5001 порт у Вас также открыт.

SergeS · 02.09.2014
Но, это архиудобство формируется тем, что извне открывается свободный доступ на файл, несмотря на то, что вся папка закрыта для всех, кроме админа.

 

Что же тебя смущает, если ты сам, как админ, дал доступ всем (кто знает ссылку) к этому файлу?

То же самое можно сделать и массой других, менее удобных, способов, не так ли? :-))) так в чем тогда претензии к тому, как это делает Синолоджи?

polanat · 02.09.2014
Что же тебя смущает, если ты сам, как админ, дал доступ всем (кто знает ссылку) к этому файлу?

То же самое можно сделать и массой других, менее удобных, способов, не так ли? :-))) так в чем тогда претензии к тому, как это делает Синолоджи?

Коллеги, не перегибайте, GoFile.me - это не один из массы удобных способов, это ОСОБЫЙ способ, и хватит уже пинать топикстартера за то что он сам дал :rolleyes: . Он всего лишь заюзал фичу, доступную ещё с DSM 4.1 версий, которую Собственно Synology ему и предоставила. Но вопрос был поднят корректно, а именно что это за механизм, мол объясните и делов-то. А это собственно QuiсkConnect и есть, или же вся эта "закрытая сино-кухня" с обходом "закрытых" портов.

Accelerator · 03.09.2014

А интересно, не создается ли копия файла во время его распаривания, но уже с правами для guest?

Может как-то проверить, типо расшарить большой по объему файл и посмотреть изменилось ли свободное место на винте после этого действия?

 

P.S. Мне вообще пофиг, так как не пользуюсь :)

SergeS · 03.09.2014
Коллеги, не перегибайте, GoFile.me - это не один из массы удобных способов, это ОСОБЫЙ способ, и хватит уже пинать топикстартера за то что он сам дал :rolleyes: . Он всего лишь заюзал фичу, доступную ещё с DSM 4.1 версий, которую Собственно Synology ему и предоставила. Но вопрос был поднят корректно, а именно что это за механизм, мол объясните и делов-то. А это собственно QuiсkConnect и есть, или же вся эта "закрытая сино-кухня" с обходом "закрытых" портов.

 

Что то ты не то говоришь, хотя может я просто не всегда понимаю, о чем именно ты говоришь ;-)

КвикКоннектом я например вообще не пользуюсь, но обсуждаемая фича у меня прекрасно работает.

Кроме того, насколько я понял топикстартера, GoFile.me - это доменное имя его nas'a, нет?

polanat · 03.09.2014
КвикКоннектом я например вообще не пользуюсь, но обсуждаемая фича у меня прекрасно работает.

Но ведь галка то включена, не правда ли? Называйте это QuickConnect или MyDS или как я обозвал "закрытая сино-кухня", это сути не меняет, а именно в обход всего (закрытые порты, серые IP) Сино видит вас всех через "хитрый тоннель", опять таки называйте этот сино-механизм как хотите..

 

Вот что недавно "нарыл" valentinl:

 

... relay-сервер фактически устанавливает два соединения: одно с NAS, а другое с внешним устройством. Т.е., в отличие от DDNS, прямого соединения внешнего устройства с NAS нет, все данные проходят через один из рилей-серверов (сейчас их три) и скорость передачи данных должна зависеть от загрузки сервера. Вот здесь это подробно описано (см. комментарии к блогу).

 

Кроме того, насколько я понял топикстартера, GoFile.me - это доменное имя его nas'a, нет?

GoFile.me - это сервис Synology и как он работает автор расписал в деталях. Ну а свой айпишник автор сразу же и засветил, когда выложил эти gofile ссыли, ну а XerSonik уже собрал пирамидку из кубиков и выложил вход на админку.

 

PS route: 89.222.232.0/22

descr: Beirel Telecom ISP

descr: Pushkino, Russia

descr: http://www.beirel.ru

Siroc-co · 03.09.2014

Действительно, много букаф. Какая такая дыра в безопасности, если файл расшарить может только админ? Ну ты ж зашёл из под админа, у тебя только есть доступ к этим файлам, и ты же сделал ссылку. И кто тут дыра? По-моему админ и есть дыра, раз он так рассуждает. и никакой сервис не имеет доступа, это лишь удобство предоставления ссылок. А ссылки и без сервиса работают.

 

SergeS · 03.09.2014
Но ведь галка то включена, не правда ли? Называйте это QuickConnect или MyDS или как я обозвал "закрытая сино-кухня", это сути не меняет, а именно в обход всего (закрытые порты, серые IP) Сино видит вас всех через "хитрый тоннель", опять таки называйте этот сино-механизм как хотите..

 

Да нет же, говорю же не пользуюсь я ни MyDS, ни КвикКонктом. Нафиг надо, этот "хитрый тунель", я порты нужные мне ручками прписываю.

 

А вoт и общедоступная ссылка на файл из папки "не для всех": https://sergeskor.noip.me:81/fbsharing/KboIBfwN

(Saint-Agnes-and-The-Burning-Train.mp3)

 

polanat · 03.09.2014
Да нет же, говорю же не подьзуюсь.

Другими словами Вы не пользуетесь Cloud Station, DS cloud, DS audio, DS photo+ and DS file…

 

PS А давайте автор сам проверит и нам всем расскажет - уж кому-кому а ему это интересно ;)

SergeS · 03.09.2014
Другими словами Вы не пользуетесь Cloud Station, DS cloud, DS audio, DS photo+ and DS file…

 

PS А давайте автор сам проверит и нам всем расскажет - уж кому-кому а ему это интересно ;)

 

Cloud - не пользуюсь, просто не надо. А остальным всем конечно пользуюсь. КвикКоннект - просто способ для ленивых не прописывать портфорвардинг, не более, на работу самих приложений в общем-то это не влияет... Причем платят ленивые за это снижением безопасности.

polanat · 03.09.2014
Cloud - не пользуюсь, просто не надо. А остальным всем конечно пользуюсь. КвикКоннект - просто способ для ленивых не прописывать портфорвардинг, не более, на работу самих приложений в общем-то это не влияет... Причем платят ленивые за это снижением безопасности.

+1 Собственно, лучше и не скажешь :rolleyes:

 

PS "Edit [31st March, 2014]: Port forwarding and QuickConnect can be complementary. If you have forwarded ports on your router, QuickConnect won’t need to leverage the relay server, meaning data won’t transfer through it. This can be quite useful with our mobile applications, to seamlessly reconnect when changing networks with the reconnection mechanism, while having the same performances as using a DDNS."

Madnicks · 03.09.2014

Сейчас специально проверил - права доступа остаются такими же, как были выставлены раньше.

Скажем, если расшариваю файл для всех, который доступен только админу, внутри DSM и по SMB он таковым и остаётся - доступным только админу.

Естественно, по ссылке его могут скачать все. Было бы странно, если б было по-другому.

Никакая копия не создаётся.

 

QC к этому никакого отношения не имеет. Это всего лишь способ добраться до содержимого.

Ссылка имеет вид DDNS(IP):порт\ftbsharing

Как уже было сказано - QC для ленивых или серых.

 

Короче тема ниачом. Из области - какой же первый надеть сегодня ботинок - правый или левый.

Такое ощущение, что чел впервые обнаружил быстрое расшаривание, которое доступно аж с 4.1 и давай кричать - гляньте что у меня есть!

Генерит своими руками ссылку для всех и орёт - блеать! по ней же все могут качать!

Что с вами такое, people.

hafis · 03.09.2014
Сейчас специально проверил - права доступа остаются такими же, как были выставлены раньше.

Скажем, если расшариваю файл для всех, который доступен только админу, внутри DSM и по SMB он таковым и остаётся - доступным только админу.

 

...

Короче тема ниачом.

 

 

 

Судя по всему, Вы не поняли поставленных вопросов.

Вопроса как минимум два основных

 

 

(1). Под каким пользователем заходит gofile, чтобы взять файл по предоставленной ссылке?

 

(2). Откуда у gofile пароль доступа к DSM, если если админ ему свой пароль не сообщал, пользователь guest отключен в DSM?

 

 

У Вас есть ответы на эти вопросы?

Если есть, то просветите пожалуйста.

 

 

 

 

hafis · 03.09.2014
PS hafis(z), зачем сливаете статику?

 

Мне наличие статического полезно для устойчивости разных сервисов. При этом я не вижу большой разницы между статикой и динамикой в обсуждаемом аспекте. В мире масса серверов, имеющих статический адрес, как-то живут, видимо у них с безопасностью лучше, нежели у DSM. В общем, не все сидят за динамикой. А если кому нужно ломать, он будет ломать и динамический в рамках сессии. Собственно, мой топик и посвящен попытке понимания рисков, при открытии таких ссылок, которые я привел. Адекватные оценки рисков могут быть произведены если знаешь реальные механизмы. Вот это и важно.

 

А пока тут все советы сводятся к "ну не пользуйся..."

Или "а чего ты хотел..."

 

Я хочу разобраться в механизмах.

Есть ли серьезная дырка в механизмах авторизации, или нет.

Если есть, то будем думать дальше, например прекращать пользоваться таким вариантом, с гофайлом, а также отрубить квикконнект и что там еще... Хотя последние воспринимаются мной просто как некие подвиды DDNS, то есть безопасны. Если дырки нет, а механизм предоставления общей ссылки через gofile вполне не нарушает общих принципов защиты файлов по необходимости авторизации, то и славно. Но, пока вопрос в подвешенном состоянии, поскольку никто не пояснил, что происходит на файловом уровне и на уровне прав на директории. А не на уровне "что мы видим в качестве результата со стороны пользователей". То есть в этой теме приветствуются посты людей, которые разбираются в потрохах файловой системы типа линуксовой. А не те, кто только овладели интерфейсом DSM. Интерфейсом я и сам владею неплохо, но моих знаний не хватает чтобы кристально ясно понимать, что происходит. На уровне файловой системы и механизмов авторизации в DSM.

 

Еще раз подчеркну.

В моем случае Синолоджи является полноценным сервером, отдающим наружу разные необходимые сервисы.

Ключевым в такой ситуации является не отсутствие прямого айпишника, и не закрытие всех портов, а механизм авторизации без дырок.

И вот это и хотелось бы прояснить.

 

 

 

 

Включайте автоматическую блокировку в Панели управления и готовьтесь наблюдать как растёт список блокировок :(

 

Автоблокировка включена с самого начала использования DSM.

Равно как и достаточно сложные пароли пользователей.

Но, к чести тут присутствующих, ни одного адреса в списке блокированных еще нет.

Пока..

 

:)

 

Вопрос немного в другом.

Какой бы сложный пароль не был бы, безопасность под угрозой, если он легко (или не так легко) но обходится. Например используя механизм (о котором я не знаю) который использует gofile.me

И принципиальное знание моего айпишника тут уже фактор сугубо третьего порядка важности. И даже автоблокировка по подбору - уже не спасет.

sidor_ii · 03.09.2014
GoFile.me - это доменное имя его nas'a, нет?

Нет

это сервис synology

Madnicks · 03.09.2014
(1). Под каким пользователем заходит gofile, чтобы взять файл по предоставленной ссылке?

 

(2). Откуда у gofile пароль доступа к DSM, если если админ ему свой пароль не сообщал, пользователь guest отключен в DSM?

 

Неужели так трудно понять, что нет никакого пользователя, злобного чёрта в табакерке, маленького тамагочи, который сообщает страшному и свирепому gofile все пароли, номера кредитных карт и коды подъезда Вашего домофона.

QC - это системная служба, внутренний сервис.

 

Я хочу разобраться в механизмах.

Станьте Synoписателем. Мы Вам в этом поможем. Составим резюме совместно. Вас возьмут в Synology.

За это Вы нам потом расскажете все тонкости мезанизма.

А пока что, на данный момент, без Вас, разработчики посчитали, что конечному пользователю достаточно знать лишь ту информацию, которая предоставлена официально.

Всё остальное - раздувание портянок на форуме.

hafis · 03.09.2014
Неужели так трудно понять, что нет никакого пользователя, злобного чёрта в табакерке, маленького тамагочи, который сообщает страшному и свирепому gofile все пароли, номера кредитных карт и коды подъезда Вашего домофона.

...

...

Станьте Synoписателем. Мы Вам в этом поможем. Составим резюме совместно. Вас возьмут в Synology.

За это Вы нам потом расскажете все тонкости мезанизма.

 

 

Уважаемый Madnicks,

 

Вы не ответили на вопросы по механизмам авторизации.

Ваши постинги в этой теме, увы, не продвигают к пониманию вопроса.

Рекламные словеса, что "синолоджи о тебе позаботилось, брат, ни о чем не беспокойся" меня в качестве ответа не устраивают.

Пожалуйста, не пишите сюда больше, если нет мыслей по существу.

Не засоряйте топик.

Спасибо.

Madnicks · 03.09.2014

Пожалуйста.

Но мой долг предупредить Вас:

 

Да! Да! Внимание! Безопасность под угрозой!!!

 

думаю, теперь вопрос для Вас решён? :unsure:

hafis · 03.09.2014
Но мой долг предупредить Вас:

 

Да! Да! Внимание! Безопасность под угрозой!!!

 

думаю, теперь вопрос для Вас решён? :unsure:

 

 

Безопасность всегда под угрозой.

Это аксиома, не требующая воплей на форуме.

Грамотным подходом в такой ситуации будет адекватная оценка рисков для каждой развертываемой конфигурации программных средств.

Для адекватной оценки рисков нужно понимание, а не восклицательные знаки.

 

 

 

 

Madnicks · 03.09.2014
Для адекватной оценки рисков нужно понимание, а не восклицательные знаки.

То есть? Во так????????

А так я могу делать ????????семьсемьсемьсемьсемьсемьсемь

 

Заранее спасибо.

hafis · 03.09.2014

--

 

 

по прежнему буду благодарен коллегам, которые помогут реально разобраться в механизмах авторизации доступа к файлам,

т.е. по затронутой теме.

 

 

Повторю, на всякий случай, уточненную постановку вопросов. В ситуации когда:

- права на директорию и файлы в ней (на уровне dsm) имеет только админ...

- все остальные пользователи имеют свои пароли, и вообще не имеют доступа к обсуждаемым файлам,

- пользователь guest вовсе отключен...

 

(1). Под каким пользователем заходит gofile на машину, чтобы взять файл по предоставленной ссылке?

(2). Откуда у gofile пароль доступа к файловой системе, если если админ ему свой пароль не сообщал?

 

 

 

 

 

Madnicks · 03.09.2014

Attention!

 

You have 1 minute to fasten your seatbelt!

 

Your NAS will be self-destruct after T-5 minutes!

 

T-4...

T-3...

polanat · 03.09.2014
А пока тут все советы сводятся к "ну не пользуйся..."

Или "а чего ты хотел..."

 

Я хочу разобраться в механизмах.

hafis, а собствено что Вы сами сделали для того, чтобы разобраться в механизмах, кроме того, что вылили тему на форум и обиженно отшиваете каждого с комментами "не то, опять не то". По сути Вы зациклились на правах доступа а сам транспорт доставки файла Вас похоже и не интересует. А может есть смысл покопать именно там. Сниффер, я полагаю у Вас уже стоит и слушает, не так ли?? Ведь если нигде в логах не видно факта подключения извне безо всякой авторизация пользователя, то наверное механизм доставки а не механизм прав вызывает интерес в первую очередь. Или я опять неправ как и собственно все что Вам ответили??

 

PS Да и потом, что ответила Syno на Ваш официальный запрос, мол боюсь, страшно успокойте? Ведь Вы его сделали, не правда ли? А может она ответила "используйте пароль и не бойтесь", но такой ответ Вас конечно не устроил и Вы решили отыграться на форуме. А Вы ведь даже СПАСИБО никому не сказали :(

hafis · 03.09.2014
По сути Вы зациклились на правах доступа а сам транспорт доставки файла Вас похоже и не интересует. А может есть смысл покопать именно там. Сниффер, я полагаю у Вас уже стоит и слушает, не так ли?? Ведь если нигде в логах не видно факта подключения извне безо всякой авторизация пользователя, то наверное механизм доставки а не механизм прав вызывает интерес в первую очередь. Или я опять неправ как и собственно все что Вам ответили??

 

 

Уважаемый polanat,

Все отвечающие тут разделились на три группы.

 

(1). Одна группа поняла вопрос, как связанный именно с правами доступа.

Т.е. файл, как и директория остается с правами доступа только для root, скажем. А реально отдается всем, используя некий непонятный для классической ОС механизм.

Разрыв шаблона в механизмах авторизации в операционной системе.

Вне зависимости от транспорта доставки.

 

 

(2) Вторая группа сконцентрировалась на транспорте доставки пользователя к машине (QuickConnect, DDNS, открытый 5001 порт, статический адрес...)

Это тоже интересно, но это про другое.

 

 

(3) Третья группа начинает обсуждать интерфейсные галочки,

типа "вы не поставили пароль в интерфейсе пользователя, так чего же удивляетесь..."

(ответ очевиден - удивляемся правам доступа на уровне файловой системы, а не галочек в интерфейсе)

 

 

 

Меня совсем не волнуют ответы людей третьей группы, и их благодарить просто не за что. Они вообще вопроса не поняли.

Люди, кто делали свои замечания про транспорт доставки - большое Вам спасибо, это было интересно, но замечу, что вопрос про другое.

Мой NAS вообще может стоять на статическом IP в DMZ-зоне. Как тысячи других серверов в мире. При этом, при нормальном механизме авторизации проблем быть не должно. Но, для понимания имеем ли мы нормальный механизм авторизации, или же механизм авторизации сделан с дырками (для удобства Синолоджи со своим сервисом gofile), хотелось бы разобраться в вопросе. Безотносительно путей, каким образом Вы добрались до НАСа из внешнего мира.

 

 

 

 

а собствено что Вы сами сделали для того, чтобы разобраться в механизмах, кроме того, что вылили тему на форум и обиженно отшиваете каждого с комментами "не то, опять не то".

Я крайне благодарен тем, кто понял вопросы, и пишет именно по теме (таких немного, но они есть).

Увы, некоторые коллеги гонят флуд а иногда юродствуют. На фиглярствующего - не обижаюсь, честно. Я же понимаю, что он такой как есть. Какой смысл обижаться?

 

Что касается обращения сразу к разработчикам. На этом форуме, задаются гораздо более поверхностные вопросы. Но, никто авторам их не ставит в упрек, что они со своими вопросами не обратились сразу в техподдержку, а просто написали на форум. Это форум - взаимопомощи, был создан, как понимаю, чтобы простые люди могли общаться со своими проблемами, не обращаясь сразу к разработчикам. Таким образом вызывает недоумение Ваши претензии по этому поводу. Сначала форум. В надежде что есть люди, которые ясно представляют вопрос. Потом чтение документации по линуксу, который мне не нужен в жизни. Потом буду отнимать время к разрабов, если форум н поможет. Я осознаю, что пользователей десятки тысяч, а разрабов мало. Поэтому имеет смысл сначала обсудить в своем кругу. Быть может, есть простое объяснение, которое только мне не было известно

 

 

 

А Вы ведь даже СПАСИБО никому не сказали :(

Когда найдутся люди, внятно отвечающие именно на поставленные мной вопросы,

тогда и спасибо будет, и большая человеческая благодарность.

 

 

 

 

sidor_ii · 03.09.2014

Ау, Люди !!

Вы чего напали на человека.

Нормальный был вопрос задан.

Как протухшую новость годовалой давности,синолокер, обсуждать на 11 страницах, так пожалуйста.....

А как нормальный вопрос задали, так набросились. ;)

Вы читать просто не хотите что вас спрашивают.... сразу наезды...

чего взъелись ??

 

polanat · 03.09.2014
Что касается обращения сразу к разработчикам. На этом форуме, задаются гораздо более поверхностные вопросы. Но, никто авторам их не ставит в упрек, что они со своими вопросами не обратились сразу в техподдержку, а просто написали на форум. Это форум - взаимопомощи, был создан, как понимаю, чтобы простые люди могли общаться со своими проблемами, не обращаясь сразу к разработчикам. Таким образом вызывает недоумение Ваши претензии по этому поводу. Сначала форум. В надежде что есть люди, которые ясно представляют вопрос. Потом чтение документации по линуксу, который мне не нужен в жизни. Потом буду отнимать время к разрабов, если форум н поможет. Я осознаю, что пользователей десятки тысяч, а разрабов мало. Поэтому имеет смысл сначала обсудить в своем кругу. Быть может, есть простое объяснение, которое только мне не было известно

 

Когда найдутся люди, внятно отвечающие именно на поставленные мной вопросы,

тогда и спасибо будет, и большая человеческая благодарность. 

При всём уважении - вопрос не поверхностный и стоит того, чтобы написать в техподдержку. С моей точки зрения, Synology не станет Вам разжёвывать про права доступа, ибо прав Madniks, ну не считает она целесообразным это сообщать рядовому пользователю в том числе из соображений безопасности. Но вдруг именно Вам повезёт.

 

PS А никто и не нападает, просто в ответах надо помягче что-ли выражаться. Ну зачем сразу же обухом по голове - мол не понимаете и не пишите...

hafis · 03.09.2014
При всём уважении - вопрос не поверхностный и стоит того, чтобы написать в техподдержку.

Вопрос оказался не поверхностным.

Это не означает, что не найдется людей в сообществе,

которые имеют достаточный уровень квалификации для понимания вопроса,

а уж тем более ответа на него.

 

 

 

 

в ответах надо помягче что-ли выражаться. Ну зачем сразу же обухом по голове - мол не понимаете и не пишите...

 

Обухом, говорите?

 

Я внимательно всех читаю.

Коллега Madnicks сначала начал говорить про интерфейсы (видимо, не поняв вопроса) - 3 его первых сообщения

Ему попытались объяснить, что вопросы отнюдь не по интерфейсу пользователя.

4-м сообщением он прямым текстом написал, что в таком случае он не понимает о чем речь, и начал скатываться в сарказм.

Ему написали, что если не понимает, то его т.зр. понятна. Будем ждать ответов от людей кто понимает о чем речь. (см. #12)

Дальше он полез в бутылку (#27)

На что пришлось написать, что видимо он все же не понимает поставленных вопросов.

С очередной попыткой пояснения все же реальной темы топика.

А далее началось юродство...

 

Ситуация развивалась вполне эволюционно,

Никто никому обухом не бил. Ему несколько раз пытались дать понять (не только я) что тема про иное.

Сначала в деликатных выражениях. Потом настойчивее, с расшифровкой сути вопросов. И, только потом прямым текстом.

Куда уж мягче?

 

 

 

 

 

hafis · 03.09.2014

Давайте от межличностных вопросов вернется к вопросу самой темы.

 

 

вопрос связан именно с правами доступа.

 

Т.е. файл, как и директория остается с правами доступа только для root, скажем.

А реально отдается всем, используя некий непонятный для классической ОС механизм.

Разрыв шаблона в механизмах авторизации в операционной системе.

Вне зависимости от транспорта доставки.

Давайте не обсуждать транспорт. Это будет вопрос номер два, если мы не сможем понять механизмов авторизации gofile в системе Синолоджи.

Давайте не обсуждать интерфейс DSM, с помощью которого механизм открытых ссылок просто задействуется. Вопрос же не в интерфейсе. Вопрос -- в механизмах доступа на уровне файловой системы.

Вот их хотелось бы и прояснить.

 

 

 

 

 

 

 

polanat · 03.09.2014

"Если убрать из истории всю ложь, то это не значит, что останется только правда. В результате может вообще ничего не остаться." Станислав Ежи Лец

 

PS К чему эта цитата - Вы вообще можете ответов больше не получить :( Ей богу я лично не знаю что ещё можно добавить про права...

hafis · 03.09.2014
Вы вообще можете ответов больше не получить (

 

Это тоже вариант.

Зачем мне флуд и ответы на вопросы, которые не задавались? Что они принесут конструктивного?

У меня нет задачи набрать максимальное число ответов. И нет задачи дотянуть до 11-ти страниц в теме.

Лучше чистая тема без ответов, нежели загроможденная ответами не по делу, разным флудом и т.п.

 

 

 

 

Немного культурологического, на фоне чтения данного топика.

Вот проф. Лю Тяньцай считает, что у русских в традициях коммуникативного (общинного взаимодействия) отражается больше романтизма, чем разума, юродство и др. Наверное он прав. Но, в современных условиях любой может подавить в себе дионисийское начало, взамен двигаясь в сторону аполлонического сознания.

Особенно это полезно, если имеешь дело с компьютерными системами.

 

 

 

polanat · 03.09.2014

И, немного культурологического, возникшего на фоне чтения данного топика.

Вот проф. Лю Тяньцай считает, что у русских в традициях коммуникативного (общинного взаимодействия) отражается больше романтизма, чем разума, юродство и др. Наверное он прав. Но, в современных условиях любой может подавить в себе дионисийское начало, взамен двигаясь в сторону аполлонического сознания.

Особенно это полезно, если имеешь дело с компьютерными системами.

 

Не надо дразнить "русского медведя" - как говорится, медленно запрягает, но быстро едет. Ну а для понимания загадочной русской души не надо цитировать китайских профессоров - лучше посмотрите Тарковского, "Андрей Рублёв", например...

hafis · 03.09.2014

- как говорится, медленно запрягает, но быстро едет.

 

 

Хорошо,

ждем ответов по существу поставленных вопросов.

Ждем... (без сарказма)

 

 

 

 

 

SergeS · 03.09.2014
Нет

это сервис synology

 

Ух ты, интересно :-)))

И что этот сервис делает?

 

Как я понял - он делает share links, то есть ровно то же и ровно так же, что и как делает FileStation, когда ты из нее создаешь share link, я прав?

Там вероятно тогда этот сервис просто пользует механизм FileStation, но конвертирует линк полученный от FileStation в вид, пригодный для того, что бы использовать его без открытых портов File Station, используя вместо вот тот самый "хитрый тунель" (а на самом деле и не тунель вовсе)...

 

Тогда логику работы этого сервиса в данном контексте надо рассматривать как логику работы FileStation с егойной share links, в плане доступа к файлам это одно и то же.

И тогда я таки никакой проблемы в безопасности не вижу, если админ (ну или там root) сам выложил конкретный файл в открытый доступ, то какая же тут дырка в безопасности?

 

Я даже еще немного упрощу тему, для лучшего понимания ее топикстартером...

Вот скажем у меня на насе в папке \web\Files\ лежит файл fanny_math.jpg, права на доступ к нему есть только у админа. Но в то же время этот файл доступен для скачки с интернета для любого желающего, вот прямой линк: http://sergeskor.no-ip.org/Files/fanny_math.jpg

 

Вот когда ты (я говорю о topicstarter'e) делаешь share links из FileStation, или, как я сильно подозреваю, делаешь то же самое через сервис Synology, вот ты и делаешь примерно то же самое для своего файла... Где тут нарушение безопасности? Ты, как админ, имеешь полные права на этот файл, в том числе и право дать к нему свободный доступ. В принципе, как я уже говорил, ты можешь реализовать это свое право дать к файлу свободный доступ и каким-либо более вычурным способом, например выложить его на файлообменник, ты же ведь не говоришь, что это нарушение безопасности? А Синолоджи просто облегчает тебе эту задачу...

 

А то, что это сервис Synology - так это, как я уже сказал, ничего не меняет, просто этот сервис позволяет заменить одно входящее соединение снаружи с интернета на твой нас (которое требует открытых портов) на два соединения - одно от твоего наса к этому сервису, другое - из того же интернета к тому же сервису, при этом нет входящих соединений относительно твоего наса, а следовательно - можно обойтись без открытых портов...

SergeS · 03.09.2014
Я даже еще немного упрощу тему, для лучшего понимания ее топикстартером...

Вот скажем у меня на насе в папке \web\Files\ лежит файл fanny_math.jpg, права на доступ к нему есть только у админа. Но в то же время этот файл доступен для скачки с интернета для любого желающего, вот прямой линк: http://sergeskor.no-ip.org/Files/fanny_math.jpg

 

Ну или фотографии из публичного альбома PhotoStation, которые на самом деле лежат в папке, доступной только админу. Это тоже нарушение безопасности?

 

hafis · 03.09.2014
И что этот сервис делает?

 

Как я понял - он делает share links, то есть ровно то же и ровно так же, что и как делает FileStation, когда ты из нее создаешь share link, я прав?

Мы говорим об одном и том же механизме.

Просто в Вашем случае Вы даете ссылку с привязкой к DDNS-сервису, В моем случае я пользуюсь gofile.me в качестве этакого специализированного DDNS

И, в вашем случае файл лежит в папке, которая лежит в папке web, В моем случае файл лежит в произвольной папке верхнего уровня.

Но вопросы тем не менее остаются.

Об этом - ниже.

 

 

 

 

Я даже еще немного упрощу тему, для лучшего понимания ее топикстартером...

Вот скажем у меня на насе в папке \web\Files\ лежит файл fanny_math.jpg, права на доступ к нему есть только у админа. Но в то же время этот файл доступен для скачки с интернета для любого желающего, вот прямой линк: http://sergeskor.no-ip.org/Files/fanny_math.jpg

 

 

Окей,

можете ли сказать, что Вы видите если стоя на вашем предложенном файле в filestation, если Вы зайдете в "свойства" - "разрешения"? Какие разрешения видите выданы, на каких пользователей и на какие группы?

что Вы видите, если далее идем в "дополнительные параметры" - "Инспектор разрешений"? Что он показывает для пользователя Everyone?

 

 

Дело в том, что:

я в моем случае вижу, что есть разрешения только группе администраторы. Которая, естественно имеет только запаролированных членов. Это легко проверить инспектором разрешений. Насколько понимаю, он явным образом показывает, что разрешает делать операционная система. Тем не менее, файл легко отдается без пароля через gofile.me И вот этот аспект, - отдача файла, имеющего разрешения доступа только админам, любому желающему и без пароля, - и кажется мне несколько странным. Об этом - и данный топик с начала до конца. Об этом прямо пишет коллега во втором сообщении этой темы. Как определенный парадокс.

 

Как это называется на уровне интерфейса для нас, ламеров - "share links", или еще как "фирменно" от Синолоджи - это не важно. Это вопрос интерфейса, а не глубины ОС. Меня же интересует что происзодит на подводном уровне. Гугление "share links linux file system" дает мутные результаты. Если у кого есть внятные ссылки на механизмы share links в линуксе (не Синолоджи) - дайте мне ссылки, пожалуйста. А пока я склонен считать, что это такое своеобразное изобретение Синолоджи в виде своеобразного backdoor. Да, мы сами своими руками открываем ссылку. Я бы понимал, если бы при этом файлу (и каталогу в котором он находится) присваивались бы права "читабельно - для всех". Но, этого нет. На уровне, на котором могу наблюдать в инспекторе разрешений.

 

 

 

 

Ты, как админ, имеешь полные права на этот файл, в том числе и право дать к нему свободный доступ.

 

Тык, если судить по инспектору разрешений, то никаких прав на свободный доступ на уровне ОС не дается...

Вот в чем фикус.

А скачивание через share links - возможно при этом без пароля.

Как так?

 

 

 

hafis · 03.09.2014
Ну или фотографии из публичного альбома PhotoStation, которые на самом деле лежат в папке, доступной только админу. Это тоже нарушение безопасности?

 

Если эти фотографии по разрешениям доступа разрешены пользователю Everyone,

то нарушения безопасности нет.

А если не разрешены - то нарушение безопасности есть.

 

 

В моем случае - пользователю Everyone не разрешено доступа к файлу, как показывает инспектор разрешений.

Но, скачивание анонимусом - возможно.

Как Вы считаете, это нарушение безопасности, или нет?

 

 

 

 

 

 

SergeS · 04.09.2014
Окей, можете ли сказать, что Вы видите если стоя на вашем предложенном файле в filestation, если Вы зайдете в "свойства" - "разрешения"? Какие разрешения видите выданы, на каких пользователей и на какие группы?

что Вы видите, если далее идем в "дополнительные параметры" - "Инспектор разрешений"? Что он показывает для пользователя Everyone?

 

Не могу, потому что у меня такого нет, в свойствах этого файла (из FileStation, потом на файле правый клик, потом выбрать Properties, потом Permissions) я не вижу ни "дополнительных параметров", "ни инспектора разрешений"...

Вот скриншот: http://sergeskor.noip.me/Files/dsm_file_prop.PNG

Захожу под админом, DSM 5.0-4493 Update 4

 

Что я делаю не так? -)))

Madnicks · 04.09.2014

Имелось в виду вот что:

 

http://s57.radikal.ru/i156/1409/15/8f26ebe4f4dd.jpg

 

доступ к этому файлу есть только у админа.

Но вручную принудительно расшарить я могу его для всех, при этом ранее выствленные права внутри операционки по прежнему сохраняются.

При этом права "для всех" также действуют до тех пор, пока действует ссыль на внешку.

Нужно ли это разжёвывать?

Думаю да. В данном случае нужно.

 

Так вот. Сегодня я встал, сходил в туалет (мне повезло, кошка не попалась под ноги, я не споткнулся и всё донёс по назначению) выпил кофе, покурил...

Отвлёкся, извините.

 

Ранее я думал, что у автора датчик паранойи зашкаливает. Простите меня, я ошибался. Тут не паранойя.

 

Я извиняюсь, но мне одному кажется, что топик отдаёт неким долбоебизмом, находясь по температурной шкале в красный спектре?

 

Пока Вы, hafis, рассуждаете какую же туалетную бумагу использовать, Zewa или Zewa+, я сливаю с Вашей хранилки информацию. Будьте бздительны.

SergeS · 04.09.2014
Имелось в виду вот что:

http://s57.radikal.ru/i156/1409/15/8f26ebe4f4dd.jpg

 

Непонял, у меня вроде такого нету :-)))

Я же говорю - в свойствах файла (из FileStation, потом на файле правый клик, потом выбрать Properties, потом Permissions) я не вижу ни "дополнительных параметров", "ни инспектора разрешений"...

 

Причем проверил на двух насах, один родной Синолоджи, второй - ну не очень родной...

В хелпе статью "View or Change Files/Folder's Permissions" посмотрел, все вроде так и делаю, до пункта 4: Click the Permission tab, and select a user or group. Click Edit to open Permission Inspector.

Но у меня там нельзя выбрать юзера и кликнуть Edit... Скриншот я пару часов назад кинул. Мистика какая-то. Ладно, не очень то и надо ;-), хотя интересно. Расскажи подробнее как ты сюда попал?

 

А насчет share links, по сути ты прав, но возбуждатся так наверное не надо, мало ли кого как переклинит :-)))

 

 

polanat · 04.09.2014
Ранее я думал, что у автора датчик паранойи зашкаливает. Простите меня, я ошибался. Тут не паранойя.

Позволю себе пару слов в защиту слова "паранойя", собственно почему спросите Вы и я отвечу - информационная безопасность и паранойя идут рука об руку. Не верите - а вот Вам простой пример:

 

Как настроить домашнюю сеть WiFi:

 

1) Транслировать SSID - конечно НЕТ,

2) Использовать WPS - конечно НЕТ,

3) Тип аутентификации - конечно WPA2-PSK,

4) Шифрование - конечно AES,

5) Совместно используемый ключ - конечно 63 символов ASCII или 64 шестрадцатеричных числа,

6) Фильтрация MAC-адресов по беспроводному подключению - конечно включена,

7) Резервация IP по МAC-ам конечно сделана (для эстетов - статическая запись в ARP-таблице),

8) Пул IP-адресов поджат, количество свободных айпишников по дхцп - НОЛЬ.

9) На админку роутера может зайти только один IP из списка 7) да и то только по проводу,

10) ....

 

Ну как? Уже подкралась паранойя, скажете ВЫ? А ведь самое смешное, что сосед за стенкой имея airmon, airodump и airocrack без особого труда (ну с паролем побрутфорсить конечно придётся) вычислит всю вашу так тщательно охраняемую WiFi-информацию, это лишь вопрос времени и материальной (или моральной) заинтересованности.

 

Мораль - нет ничего предрассудительного в параноидальном отношении к информационной безопасности. Это именно тот случай, когда "параноить" можно и даже нужно ;)

polanat · 04.09.2014
Непонял, у меня вроде такого нету :-)))

Попробуйте зайти так:

 

Панель управления -> Папка общего доступа -> homes -> Редактировать -> Разрешения -> Локальные пользователи -> Птичкуем "Пользовательский" на любом юзере -> Закрыть -> Выбираем юзера -> Дополнительные параметры -> Инспектор разрешенний

Madnicks · 04.09.2014
Как настроить домашнюю сеть WiFi:

 

1) Транслировать SSID - конечно НЕТ,

2) Использовать WPS - конечно НЕТ,

...

Вы перечисляете элементарные правила безопасности, в отличие от обсуждаемой здесь системной фичи.

 

Мораль - нет ничего предрассудительного в параноидальном отношении к информационной безопасности. Это именно тот случай, когда "параноить" можно и даже нужно

Хорошо, что таких - один на миллион. И это не я.

Но среди знакомых имеются.

И когда они приходят ко мне в гости, я надеваю железную каску...

им на голову.

polanat · 04.09.2014
Вы перечисляете элементарные правила безопасности, в отличие от обсуждаемой здесь системной фичи.

Я думаю мы друг друга поняли. Степень "контекстной паранойи" действительно у всех разная. Кто-то действительно считает - а кому нужны мои фотки на накопителе, ну что там у меня тырить. А кто-то методом глубинного бурения хочет "найти нефть" :lol:

Madnicks · 04.09.2014

Ой, подкину тут вам ещё темку.

 

А никого не смущает, что при назначении прав папки общего пользования только админу, внезапно! на неё появляются права только у админа?

http://s004.radikal.ru/i205/1409/f1/a41f6d500667.gif

 

Не, ну вдруг с этим что-то не так? :unsure:

В конце концов, надо ж проверить уровень бараноустойчивости людей как вдоль, так и поперёк, в равной степени.

hafis · 04.09.2014

Madnicks,

Ваши посты тут ни на йоту не приближают нас к пониманию вопроса в части требуемого (механизмов авторизации).

Вы обсуждаете что угодно - "как это сделать" в интерфейсе,

или, большей частью обсуждаете саму необходимость темы...

Только не суть задачи.

 

В мире есть много тем, которые можно посчитать глупыми, несущественными, и так далее. Вы в каждую из таких ходите своим сарказмом? Поймите, ваши эмоциональные высказывания тут, кроме чесания вашего собственного ЧСВ, не производят никакой полезной информации в части сути поднятых вопросов. Следовательно, для темы - бесполезны.

 

 

После того, как я попросил Вас покинуть эту тему (#32)

Вы согласились, что сделаете это (#33)

 

Пожалуйста.

Ну и как?

Мужик сказал, мужик сделал, да?

Вы способны управлять хотя бы собственным поведением?

 

 

 

hafis · 04.09.2014
Я думаю мы друг друга поняли. Степень "контекстной паранойи" действительно у всех разная.

 

Не знаю, понял ли вас Madnicks... :)

 

 

Однако, благодарен Вам за понимание оснований моего интереса к механизмам авторизации.

В принципе, в этой теме есть участники, которые понимают о чем речь. К сожалению, мы не продвинулись далее констатации фактов.

В тему призывается дух линуксоида, хорошо знающего глубинные особенности механизма авторизации в этом семействе ОС.

 

 

 

 

 

polanat · 04.09.2014
hafis, ну а если серьёзно, внутренний голос мне подсказывает, что конструктивного ответа на Ваш вопрос Вы здесь не услышите. Если применить Вашу же каталогизацию, то все приходящие Вам ответы, которые подпадают под анонсированную Вами же 1-ю категорию ответов, можно обобщить одной фразой "так ведь права же админа, чего ты мол хотел". Честно говоря очень хотелось поисследовать 2-ю категорию, но Вы строго настрого это делать запретили пока не разберемся с 1-й. Как-то так и как говорится ничего личного ;)
hafis · 04.09.2014
Если применить Вашу же каталогизацию, то все приходящие Вам ответы, которые подпадают под анонсированную Вами же 1-ю категорию ответов, можно обобщить одной фразой "так ведь права же админа, чего ты мол хотел".

 

В сущности, "так ведь права же админа, чего ты мол хотел" - это третья категория ответов.

Которая бесполезная изначально, ибо оперирует скорее интерфейсом, что мы выставляем, а не что происходит в реальности.

Права админа, мы выставили в DSM, совершенно верно.

 

Но, ключевые вопросы:

 

(1). Под каким пользователем заходит посредник "gofile", чтобы взять файл по предоставленной ссылке?

(2). Откуда у gofile пароль доступа к DSM, если если админ ему свой пароль не сообщал, пользователь guest отключен в DSM?

 

Остаются неотвеченными.

 

 

__________________________________

 

Хотелось бы получать ответы именно на эти два поставленных вопроса.

А не констатацию факта, что я установил в DSM своими руками.

И так знаем, какие права установили на файл.

Читаем первое-второе второе сообщения этого топика (грустная улыбка).

polanat · 04.09.2014
Но ключевые вопросы:

(1). Под каким пользователем заходит посредник "gofile", чтобы взять файл по предоставленной ссылке?

(2). Откуда у gofile пароль доступа к DSM, если если админ ему свой пароль не сообщал, пользователь guest отключен в DSM?

Остаются неотвеченными.

Так может Вы всё таки прислушаетесть к моему совету поисследовать транспорт - возможно отгадка кроется именно там ;)

 

hafis · 04.09.2014
Так может Вы всё таки прислушаетесть к моему совету поисследовать транспорт - возможно отгадка кроется именно там ;)

 

У меня квалификации не хватит.

Я полагаю, что на форуме есть более продвинутые в вопросе нежели я (в общем-то закономерное предположение)

Или... уже исследовавшие вопрос в нужной степени дотошности, и знающие ответы.

 

 

 

 

SergeS · 04.09.2014
Попробуйте зайти так:

 

Панель управления -> Папка общего доступа -> homes -> Редактировать -> Разрешения -> Локальные пользователи -> Птичкуем "Пользовательский" на любом юзере -> Закрыть -> Выбираем юзера -> Дополнительные параметры -> Инспектор разрешенний

 

После выбора пользователя я не могу заптичковать "Пользовательский", у меня такого нет, есть только три варианта - "NoAccess", "Read/Write" и "Read only".

Скриншот: tut

polanat · 04.09.2014
После выбора пользователя я не могу заптичковать "Пользовательский", у меня такого нет, есть только три варианта - "NoAccess", "Read/Write" и "Read only".

Скриншот: tut

Работайте с подпапками папки "homes"

 

Выберите файл в File Station -> Райтклик -> Свойства -> Разрешение -> Дополнительные параметры -> Инспектор разрешения

Madnicks · 04.09.2014
После того, как я попросил Вас покинуть эту тему (#32)

Вы согласились, что сделаете это (#33,1/2)

Денег хочу за это

Много денег http://www.yoursmileys.ru/tsmile/rtfm/t1938.gif

SergeS · 05.09.2014
Работайте с подпапками папки "homes"

 

Выберите файл в File Station -> Райтклик -> Свойства -> Разрешение -> Дополнительные параметры -> Инспектор разрешения

 

Я же вроде уже говорил, что нет там у меня такого, и даже скриншот приводил. Правда скриншот был для папки web, но я еще тогда попробовал и для homes - все тоже самое, смотри сообщение #53.

SergeS · 05.09.2014
Хотелось бы получать ответы именно на эти два поставленных вопроса.

А не констатацию факта, что я установил в DSM своими руками.

И так знаем, какие права установили на файл.

Читаем первое-второе второе сообщения этого топика (грустная улыбка).

 

Такое впечатление, что ты либо не заметил, либо недостаточно внимательно прочитал мое сообщение #49...

Ладно, давай попробуем по другому, я тебе задам твои же вопросы, немного их перефрразируя...

 

(1). Под каким пользователем заходит посредник "gofile", чтобы взять файл по предоставленной ссылке?

 

А под каким пользователем заходишь ты на мой nas, забирая файл \web\Files\fanny_math.jpg (на который есть права только у админа) по ссылке http://sergeskor.no-ip.org/Files/fanny_math.jpg ?

 

(2). Откуда у gofile пароль доступа к DSM, если если админ ему свой пароль не сообщал, пользователь guest отключен в DSM?

 

Откуда у тебя пароль доступа к моему DSM, если я тебе свой пароль не сообщал, пользователь guest отключен?

SergeS · 05.09.2014
Непонял, у меня вроде такого нету :-)))

Я же говорю - в свойствах файла (из FileStation, потом на файле правый клик, потом выбрать Properties, потом Permissions) я не вижу ни "дополнительных параметров", "ни инспектора разрешений"...

 

Причем проверил на двух насах, один родной Синолоджи, второй - ну не очень родной...

В хелпе статью "View or Change Files/Folder's Permissions" посмотрел, все вроде так и делаю, до пункта 4: Click the Permission tab, and select a user or group. Click Edit to open Permission Inspector.

Но у меня там нельзя выбрать юзера и кликнуть Edit... Скриншот я пару часов назад кинул. Мистика какая-то. Ладно, не очень то и надо ;-), хотя интересно. Расскажи подробнее как ты сюда попал?

 

Похоже, что где-то в неизвестном мне месте в недрах DSM есть галочка, переключающая что-то типа "Simple Permissions Configuration" или "Full Permissions Configuration"... Было бы конечно интересно найти, где это и почему это ;-)))

polanat · 05.09.2014
Похоже, что где-то в неизвестном мне месте в недрах DSM есть галочка, переключающая что-то типа "Simple Permissions Configuration" или "Full Permissions Configuration"... Было бы конечно интересно найти, где это и почему это ;-)))

SergeS, честно говоря молчание автора топика в ответ на Вашу просьбу помочь найти Инспектор разрешения мягко говоря вызывают недоумение. Что же касается меня, то никакой волшебной галочки у меня нет. Насколько я понимаю суть, любой пользователь (а не только admin) может расшарить линк и выслать его любому желающему с той лишь разницей, что если линк выслан из-под админа, то получателю линка не надо вводить никакого пароля, а вот если линк выслан скажем из-под user1, то получателю линка надо вводить его логин и пароль. Отсюда вывод - для того чтобы увидить загадочный Инспектор разрешения, надо положить файл в юзерскую папку home, а по сути для admin это будет admin, для user1 - user1 и тп. Но все они являются подпапками папки homes, или же другими словами сугубо пользовательскими папками. Ну а Вы используете стандартную папку типа video или web и естественно инспектора там не находите :rolleyes:

 

PS Но если Вы как admin поменяете права на расшаренный файл с пользовательских (Владелец - user1) на администраторские (Владелец - admin), то и получателю юзерного линка не придётся вводить логин и пароль.

SergeS · 05.09.2014
SergeS, честно говоря молчание автора топика в ответ на Вашу просьбу помочь найти Инспектор разрешения мягко говоря вызывают недоумение.

 

Так вроде как тема потихоньку уже смигрировала, вопрос с Инспектором Разрешений как бы уже не сильно связан с первоначальной темой топикстартера...

 

Что же касается меня, то никакой волшебной галочки у меня нет. Насколько я понимаю суть, любой пользователь (а не только admin) может расшарить линк и выслать его любому желающему с той лишь разницей, что если линк выслан из-под админа, то получателю линка не надо вводить никакого пароля, а вот если линк выслан скажем из-под user1, то получателю линка надо вводить его логин и пароль.

 

Нет, неважно из под какого юзера сгенерирован линк, нужно или не нужно вводить пароль при доступе по сгенерированному линку - определяется не этим, а тем, как ты поставил галочки при генерации линка... Такое впечатление, что ты сам не пробовал, но начинаешь теоретизировать... "Остап был голоден, его понесло" © 12 Стульев :-)))

 

Отсюда вывод - для того чтобы увидить загадочный Инспектор разрешения, надо положить файл в юзерскую папку home, а по сути для admin это будет admin, для user1 - user1 и тп. Но все они являются подпапками папки homes, или же другими словами сугубо пользовательскими папками. Ну а Вы используете стандартную папку типа video или web и естественно инспектора там не находите :rolleyes:

PS Но если Вы как admin поменяете права на расшаренный файл с пользовательских (Владелец - user1) на администраторские (Владелец - admin), то и получателю юзерного линка не придётся вводить логин и пароль.

 

Брр, какая знатная каша... Даже не знаю, с чего начать. Ну во первых - твоя начальная предпосылка (смотри выше) - ложная, соответсттвенно - все, что идет после твоих слов "Отсюда вывод" - тоже ложно. Все что ты нафантазировал абзацем выше - непонятно вообще на чем основывается, это НЕ соответствует реальности. Мог бы и сам попробовать, перед тем как писать... К тому же, как я уже сказал - видимость или не видимость Инспектора Разрешений никак не влияет на то, о чем спрашивал топикстартер. Ну и в добавок, как я уже сказал - в домашних папках я тоже не вижу Инспектора Разрешений, так что и здесь твоя теория несостоятельна. Странно, что и это опять надо повторять в ответ на твои объяснения почему я должен его видеть ;-)))

polanat · 05.09.2014

Да уж - я же предложил через личку Вам всё объяснить - но Вы гордый. Вот и помогай после этого людям - ну не хочет человек по-хорошему, надо же поогрызаться.

 

PS Мои выводы - у Вас, SergeS, юзера вообще не "нарезаны". Действительно, а зачем? Есть же гордая учётка admin, которую я Вам предложил когда-то заблокировать. Под этой гордой учёткой у вас коннектятся на Ваш накопитель Ваши компы, медиаплеер и всё остальное Ваше железо. Однако Вы с умным видом пытаетесь учить всех в этой ветке включая автора топика тому что есть права, какие они бывают и тп и тд. Стыдно как-то.

SergeS · 05.09.2014
Да уж - я же предложил через личку Вам всё объяснить - но Вы гордый. Вот и помогай после этого людям - ну не хочет человек по-хорошему, надо же поогрызаться.

 

PS Мои выводы - у Вас, SergeS, юзера вообще не "нарезаны". Действительно, а зачем? Есть же гордая учётка admin, которую я Вам предложил когда-то заблокировать. Под этой гордой учёткой у вас коннектятся на Ваш накопитель Ваши компы, медиаплеер и всё остальное Ваше железо. Однако Вы с умным видом пытаетесь учить всех в этой ветке включая автора топика тому что есть права, какие они бывают и тп и тд. Стыдно как-то.

 

В личке Вы предложили какие-нибудь настройки посмотреть, объяснить Вы ничего не предлагали. К тому же, читая ваши объяснения тут, как и в личке, я не уверен, что нуждаюсь в каких либо Ваших объяснениях, такое впечатление, что Вы иногда больше дезинформируете или просто генерируете шум, чем информируете. Насчет юзеров - вы тоже ошиблись, если бы вы внимательно смотрели и читали сообщения, на которые отвечаете, то заметили бы, что в одном из моих сообщений,на которое Вы, кстати, отвечаете, есть скриншот со списком домашних папок, нетрудно догадаться, что число этих папок соответствует числу юзеров на моем насе, а если посмотреть на этот скриншот внимательнее, то можно увидеть там общее число этих папок - 17, соответственно - юзеров у меня где-то примерно ;-) тоже 17...

 

P.s. Вас не затруднит больше мне не писать, ни в личку, ни в ответ на мои вопросы и комментарии, а то слишком мало времени читать шум и фантазии, граничащие с дезинформацией. Заранее вам благодарен, если сможете выполнить мою просьбу.

polanat · 05.09.2014
P.s. Вас не затруднит больше мне не писать, ни в личку, ни в ответ на мои вопросы и комментарии, а то слишком мало времени читать шум и фантазии, граничащие с дезинформацией. Заранее вам благодарен, если сможете выполнить мою просьбу.

Прошу меня извинить, если что не досмотрел или чем обидел. Спасибо за обратную связь. Честно говоря Вам должен был бы ответить hafis, но поверьте его ответы будут точно такими же. Но один совет всё же дам, уж извините. Создайте 18-го юзера, зайдите под ним в его родную папку home и скопируйте в неё скажем из папки photo какую-нибудь фотографию. Ну а дальше в File Station зайдите в свойства этого файла - там увидите линк для отправки. Отправьте линк и увидите, что появится окошко с вводом логина и пароля. Дальше заходите под админом и смотрите или меняйте права. Там же под админом Вы найдёте Инспектор разрешения. И что самое смешное - Вы с удивлением обнаружите, что я по сути был прав. Но вот признать свои ошибки, а тем более прилюдно - дано не каждому ...

SergeS · 05.09.2014
Прошу меня извинить, если что не досмотрел или чем обидел. Спасибо за обратную связь. Честно говоря Вам должен был бы ответить hafis, но поверьте его ответы будут точно такими же. Но один совет всё же дам, уж извините. Создайте 18-го юзера, зайдите под ним в его родную папку home и скопируйте в неё скажем из папки photo какую-нибудь фотографию. Ну а дальше в File Station зайдите в свойства этого файла - там увидите линк для отправки. Отправьте линк и увидите, что появится окошко с вводом логина и пароля. Дальше заходите под админом и смотрите или меняйте права. Там же под админом Вы найдёте Инспектор разрешения. И что самое смешное - Вы с удивлением обнаружите, что я по сути был прав. Но вот признать свои ошибки, а тем более прилюдно - дано не каждому ...

 

У 17-ти юзеров инспектор разрешений не виден, но вот надо сделать 18-го, тогда конечно все появится, и я обязательно с удивлением увижу, что наконец-то по сути Вы были правы ;-))). Извини, но моя врожденная здоровая лень уверенно подсказывает мне, что не увижу ;-). Я лучше письмо в Synology support напишу, проще и эффективнее, если конечно не лень будет, потому как вопрос видимости инспектора разрешений для меня носит больше принципиальный, теоретический, характер и на работу моего nas'а не влияет.

GrSnake · 06.09.2014

Все достаточно просто - файл кому угодно отдается демоном, работающим из под прав рута, но не проверяющим прав внешних пользователей на этот файл. И это логично - ты сам отдал файл толпе, когда сказал сгенерить на него ссылку.

Madnicks · 06.09.2014
И это логично - ты сам отдал файл толпе, когда сказал сгенерить на него ссылку.

Да.

Ваш кэп http://s014.radikal.ru/i326/1409/1c/5ebac859f766.gif

 

На самом деле, всё сложнее. У hafis по моим наблюдениям плохая усвояемость.

Хотя реально, я не знаю, я не доктор. Но там явно всё очень плохо.

Ходим по кругу вобщем.

sidor_ii · 06.09.2014
Все достаточно просто - файл кому угодно отдается демоном, работающим из под прав рута, но не проверяющим прав внешних пользователей на этот файл. И это логично - ты сам отдал файл толпе, когда сказал сгенерить на него ссылку.

Вот единственное адекватное объяснение.

Теперь все встало на свои места. :)

polanat · 06.09.2014

Если я правильно понял ответ прозвучал на линуксоидном языке, собственно чего и добивался автор топика??

Madnicks · 06.09.2014

Я не линуксоид, к счастью или к сожалению, не знаю, но меня особо этот факт не парит.

Все достаточно просто - файл кому угодно отдается демоном, работающим из под прав рута, но не проверяющим прав внешних пользователей на этот файл. И это логично - ты сам отдал файл толпе, когда сказал сгенерить на него ссылку.

Разве не то же самое было сказано вначале? Возможно, несколько другими словами. Но мы увидели знакомое слово "демон" и ВАУ! вот оно.

А так, если просто включить голову и подумать?

polanat · 06.09.2014

Выходит, что "перламутровые пуговицы" производят магическое впечатление - ну прям как бусы для индейцев :lol:

Madnicks · 06.09.2014

Не думал, что всё настолько плохо. Люди вообще думать разучились.

n0mad · 05.12.2014
Я не понимаю, к чему вообще это всё поднято и написано. Очень многабукав.

У меня в данный момент сгенерировано минимум ссылок 12 наверно, причём с постоянным сроком действия болтаются. Вы сможете у меня скачать что-либо? Сомневаюсь. Вы даже доменное имя не знаете, не говоря уже про саму ссыль. Подбирать её будете? Карты таро раскинем может?

Нет никакого "внедрённого пользователя", нет никакого страшного чёрного человечка. Это просто-напросто фишка системы.

Если уровень паранои совсем зашкаливает, просто не пользуйтесь данной фичей, делов-то.

Это разговор ни о чём. Тема высосана из пальца.

Тема актуальная хоть и тухлая уже...

Фишка системы - дырявость.

Делаю банально

-----

freedisk> mkdir 400 500 600 700 6400 6500 6600 6700

freedisk> chmod 400 400;chmod 500 500;chmod 600 600;chmod 700 700;chmod 6400 640

0;chmod 6500 6500;chmod 6600 6600;chmod 6700 6700

freedisk> ls -l

dr-------- 2 root users 4096 Dec 5 15:01 400

dr-x------ 2 root users 4096 Dec 5 15:01 500

drw------- 2 root users 4096 Dec 5 15:01 600

dr-S--S--- 2 root users 4096 Dec 5 15:01 6400

dr-s--S--- 2 root users 4096 Dec 5 15:01 6500

drwS--S--- 2 root users 4096 Dec 5 15:01 6600

drws--S--- 2 root users 4096 Dec 5 15:01 6700

drwx------ 2 root users 4096 Dec 5 15:01 700

-----

Теперь со стороны samba я спокойно захожу ЛЮБЫМ пользователем в эти каталоги (если у пользователя есть доступ к шаре).

 

n0mad · 05.12.2014
Я говорю о правах с которыми gofile.me отдает мой файл.

Да, я осознаю что сформировал ссылку для публичного доступа на файл.

Но с другой стороны этот файл лежит на НАС с правами root и доступом только root пользователю ( я принудительно выставил такие права ).

Вопрос просто стоял в одном, как происходит взаимодействие gofile.me и наса, что файл с правами root отдается по сформированной мною ссылке без запроса пароля root

Судя по всему безопасность совершенно не отрабатывается системой.

Отрабатывается лишь процессами дающими доступ. Если файл серверу указано что пользователь не имеет доступа к ресурсу то он не будент его иметь.

Если пользователь имеет доступ к ресурсу - то пофигу права на файлы.

Демоны от рута и имеют всех...

ValeryFVV2002 · 05.12.2014

У меня вообще подозрение, что в синолоджи все стартует от рута, а уже права раздаются их надстройкой.

Достаточно того, что есть файлы с правами 000, которые прекрасно читаются и пишутся любым пользователем

n0mad · 05.12.2014
У меня вообще подозрение, что в синолоджи все стартует от рута, а уже права раздаются их надстройкой.

Достаточно того, что есть файлы с правами 000, которые прекрасно читаются и пишутся любым пользователем

И как с этим жить?

На других линуксах у меня:

® 6755 User

(-) 6700 User/Safe

(W) 6777 User/Write

Что позволяет сделать гибкие права доступа.

 

hafis · 08.01.2015
Все достаточно просто - файл кому угодно отдается демоном, работающим из под прав рута, но не проверяющим прав внешних пользователей на этот файл.ссылку.

 

Судя по всему безопасность совершенно не отрабатывается системой.

Отрабатывается лишь процессами дающими доступ. Если файл серверу указано что пользователь не имеет доступа к ресурсу то он не будент его иметь.

Если пользователь имеет доступ к ресурсу - то пофигу права на файлы.

Демоны от рута и имеют всех...

 

 

 

Спустя несколько страниц разных препирательств и флуда

началось предметное обсуждение того, о чем автор темы-вопроса и спрашивал,

собственно.

 

 

:blink:

 

Благодарю GrSnake за объяснение и n0mad за углубление.

DEV · 28.04.2016

ссылки общего доступа gofile.me в synology лучше отключить:

 Включение ссылок gofile.me:

    Выберите Панель управления > QuickConnect и установите флажок Включить QuickConnect. Если QuickConnect не установлен, это можно сделать на этой странице.
    Затем нажмите Дополнительно и установите флажок Обмен файлами.
    Общие файлы можно загрузить без использования учетной записи DSM с помощью ссылки общего доступа gofile.me.

 

gofile.me светит ваш доступ

 

http://gofile.me/Direct.php?host=ваш.ip.aдрес.:5000&path=%2Ffbsharing%2FOm0gU3DZ&type=external

 

ваш.ip.aдрес./phpMyAdmin по умолчанию всегда root а пароль пусто так что если вы забыли сразу сменить пароль то это просто страшный сон

 

или ещё допустим: ваш.ip.aдрес./phpvirtualbox в этом случае ни логина ни пороля даже не требуется

polanat · 29.04.2016
gofile.me светит ваш доступ

Альтернативно ссылка может формироваться и через D(DNS). И так и так айпишник засвечивается и что дальше??? Гугл за 5 минут найдёт вам кучу сино, смотрящих в Интернет по 5000 порту и что дальше???? hafis правильно писал про криптостойкий пароль - автоблокировка заблокирует Ваш айпишник при подборе пароля и всё ...

 

PS How Secure Is My Password?

 

PSS Так что параноить не надо ;)

Siroc-co · 29.04.2016
gofile.me светит ваш доступ

Хм. А как иначе дать ссылку на свой сервер и не светить свой сервер?

Надо не шифроваться и прятаться, надо защищаться, Syno имеет инструменты защиты, это и двух этапка, это и автоблокировка, и ограничение доступа по IP... Также придумывайте пароли по сложнее.

DEV · 29.04.2016
Так что параноить не надо

 

я всего лишь привёл два простых примера, для очень, очень простых и очень начинающих юзеров dsm

и если вы внимательно читаете посты в чём я сомневаюсь, в примерах описаны случаи вообще без паролей

 

кто и как организует на своих серверах шару, дело каждого, способов, решений и возможностей достаточно

и моё сугубо личное мнение это то что сервис gofile.me стоит не первых рядах списка решений, вот и всё.

polanat · 29.04.2016
я всего лишь привёл два простых примера, для очень, очень простых и очень начинающих юзеров dsm

2-й пример - это надо полагать про безпарольный рут - так ведь синологи уже прикрыли эту дырку ...

 

кто и как организует на своих серверах шару, дело каждого, способов, решений и возможностей достаточно

и моё сугубо личное мнение это то что сервис gofile.me стоит не первых рядах списка решений, вот и всё.

А какой способ организации шары НЕ СВЕТИТ айпишник???

 

PS А по мне gofile.me - не самое худшее решение ...

DEV · 29.04.2016
А какой способ организации шары НЕ СВЕТИТ айпишник???

 

предлагаете мне найти для вас решение или как

 

 

polanat · 29.04.2016
предлагаете мне найти для вас решение или как

предлагаю Вам не только критиковать но и предлагать альтернативы. Мне лично решение не нужно - это скорее из серии - "Сказал "А" - говори и "В" ...

DEV · 29.04.2016
"Сказал "А" - говори и "В"

не очень то хочется кому то что то конкректное советовать и предлагать, каждый решает сам

 

и тем более моё кардинальное решение напугает многих, а именно я вообще стараюсь избегать прямых ссылок на файлы сервера, только для узкого круга пользователей

а доступ организую с помощью стороних сервисов коих тоже вполне достаточно представленно.

 

polanat · 29.04.2016

:lol:

 

а доступ организую с помощью стороних сервисов коих тоже вполне достаточно представленно.

Всё это дополнительные телодвижения безо всякой автоматизации - сиречь ручной труд. А вот GoFile-ссылку можно лепить на любое фото в любом альбоме, да и поставить ограниченный срок действия никто не запрещает ...