Acc

[papili]

Bonjour,

J'ai une config avec nom de domaine perso et certificat startssl qui fonctionne très bien. Mon seul problème c'est que photo station n'est pas accèssible en https.

Y a t'il un moyen de modifier la config en ssh pour avoir ça, je trouve plein d'info mais c'est sur les anciennes versions et les manipulation ne s'applique pas en l'état.

Merci

[pluton212+]

Salut,

dans "panneau de configuration" "services web" il faut cocher "activer la connexion https pour les services web".

[domlas]

Oui mais surtout la vraie bonne question serait de savoir pourquoi vouloir du https pour de simples photos ? Ou est l'intérêt ?

[Thierry94]

Pour moi le https permettait surtout de ne pas avoir les login et mot de passe en clair lors de la connexion ... Est ce exact ?

[domlas]

En théorie c'était vrai mais as tu entendu parler du scandale NSA ces derniers temps ? La "protection" https a été cassée depuis longtemps.

Maintenant il faut aussi se poser la bonne question, mes transactions ont-elles un impérieux besoin d'être chiffrées ? C'est à dire vont-elles vraiment intéresser un quelconque malfrat ?

Si tu es un gros banquier qui manipule des milliards, là c'est compréhensible mais il faudra autre chose de plus sérieux que le https.

Et puis il serait assez malin de ne pas attirer la "curiosité" des pirates. Ils seront plus attirés par un trafic sous HTTPS qui devrait être juteux puisque protégé que par du tout venant en HTTP. Si le client ne protège pas ses données c'est que vraisemblablement elles ne valent rien.

Il existe aujourd'hui une véritable paranoïa du piratage, de vol de données et autres terreurs du même tonneau.

Pour les accès web en https il te faut abandonner le port et paramétrer le port 443 d'entrée dans le routeur (box) vers le syno par le port de sortie .

Comme dans bien des domaines les techniques les plus simples sont bien souvent les plus efficaces et avant de partir en vrille dans les "cryptages" et autres trucs tordus il faudra déjà commencer par supprimer les identifiants "classiques" comme admin, bien paramétrer la protection web du syno. Elle est toute bête mais très efficace en bloquant l'accès au syno après 5 tentatives infructueuses d'entrées en moins de 10 mn.

Eviter d'utiliser les dossiers préinstallés sur le syno comme photo ou vidéo que tous le monde connait.

Modifier aussi sa plage d'adressage du réseau interne avec les très connus 192.168.0.1 ou 192.168.1.1

Et il y a plein d'autres astuces similaires.

Ca fait 8 à 10 ans que j'utilise des synos, beaucoup en petit serveur web et surtout beaucoup en FTP entre ma fille dans le Var, mon pote et ses 6 boutiques en RP avec des dizaines d'échanges de fichiers chaque jours et aucune anicroche, jamais !

Et j'oubliais dans les précautions simples mais terriblement efficaces, je ne vais plus jamais dans les bordels virtuels aux nénettes plastifiées, les sites de rencontres et encore moins sur les plates formes plutôt pas très légales de téléchargements plus ou moins pirates...

Donc de simples photos de famille ont elles un réel besoin de se balader en fourgon blindé ? C'était bien connu que les fourgons blindés attiraient les convoitises. Et puis si au passage on perd la photo de la belle doche j'en connais qui n'en feront pas une crise cardiaque.

[Vinky]

Euh... Je ne suis pas du tout d'accord avec ce discours (sauf sur la partie où l'https n'est pas la seule chose à faire)

Si on suit cette logique, on peut en conclure que fermer sa porte à clef en tant que particulier n'est pas utile...

Les attaques ne se font pas uniquement sur le prestige. La plupart sont liées à des scripts automatiques qui ne cherchent pas à connaître l'importance de l'infrastructure avant de s'exécuter.

Enfin l'argument de la nsa n'est pas bon... Que la Nsa est accès à tout, c'est deja une aberration, est-ce que pour autant il faut laisser n'importe quel pirate du dimanche avoir la possibilité d'obtenir simplement login et mdp ?

Un réseau se snif tres tres facilement. Même dans une entreprise. Pour avoir fait le test, c'est fou de voir le nombre de mdp et login qui passent en clair...

Le HTTPS, n'est pas la solution mais est aujourd'hui le minima à faire dès que l'on peut le mettre en place.

Modifié le 21 juillet 2014 par Vinky

[PiwiLAbruti]

Entièrement d'accord avec Vinky, le cryptage des connexions est le minimum à mettre en place. Par contre je ne vois pas ce que la NSA vient faire là-dedans, ou alors j'ai raté un épisode de leurs méthodes de captation d'information.

Ce qui va motiver une attaque n'est pas le contenu de la cible mais la possibilité de pouvoir exploiter une faille pour s'y introduire. Tout ça dans le but de s'en servir comme relai pour des opérations plus ou moins douteuses (nouvelles attaques, spamming, ...).
Il ne faut pas croire qu'un supposé hacker émet des attaques directement depuis sa connexion internet. En terme de performances et de sécurité, un bon botnet de quelques milliers de machines est bien plus intéressant.

On a déjà vu ce que ça donnait avec le fameux Il s'agissait d'une faille du DSM 4.3 corrigée par Synology depuis.

[domlas]

Au sujet du NSA c'est simplement que parmi tous les outils qu'ils utilisaient il y avait en bonne place et depuis des années le sniffage des transactions sous https ce qui a contribué à pomper les identifiants de millions de citoyens.

Ce que je voulais dire est de ne surtout pas se sentir inataquable parce qu'on a "simplement" mis en place un "gri-gri". D'autant que la prolifération du https dans les fameux réseaux sociaux à trés certainement encouragé des curiosités malsaines.

Pour reprendre l'idée de fermer sa maison à clé c'est bien mais encore faut-il bien avoir fermé les fenêtres et ne pas trop afficher en évdence les signes de richesse tant convoités, éviter les habitudes d'horaires répétitifs, ne pas laisser de signes évidents d'absence. Ces tout petits détails de bon sens sont aussi efficaces qu'une clé A2P. Et à quoi sert une porte blindée quand il est si facile d'arracher 10 tuiles et de défoncer la fine feuille de placo qui sert de plafond ?

C'est vrai que dans les entreprises aussi le "sécurisationnement" est très souvent peu suivi. C'est un euphémisme ! Mais des millions d'entreprises vivent quand même trés bien. Bien sûr il y aura toujours LE cas, l'exception...

[Vinky]

La sécurité ce n'est pas ça.

Aucun système n'est infaillible. La sécurité absolu n'existe partant de là, 2 choix :

1. Comme toi on dit : bah ça ne sert à rien de sécuriser quoique ce soit du coup.

2. On fait le minimum pour se proteger.

Et c'est le 2 qu'il faut faire. En sécurité, qu'un seul objectif : être plus protéger que ton voisin (surtout quand tu es un anonyme). Pour reprendre le voleur, s'il voit une porte blindé et à côté une pauvre porte, peu importe les fenêtres, il ira là ou ça rentrera (c'est le principe du script automatique : aucune logique et aspect global)

Le seul cas c'est si ça devient personnel ou un devis pour une personne, mais si tu arrives sur ce point, on revient au début, rien n'est infaillible, donc tu te feras avoir quoi que tu fasses

Modifié le 21 juillet 2014 par Vinky

[domlas]

Oui le coup des portes est un point de vue parce que si ton voisin a une belle porte blindée mais a laissé une fenêtre ouverte et que toi tu as des barreau à ta fenêtre le voleur ira chez le voisin malgré sa porte blindée...

[PiwiLAbruti]

Oui le coup des portes est un point de vue parce que si ton voisin a une belle porte blindée mais a laissé une fenêtre ouverte et que toi tu as des barreau à ta fenêtre le voleur ira chez le voisin malgré sa porte blindée...

Si on résume :

Fenêtre ouverte = HTTP

Fenêtre à barreaux = HTTPS

Tu te contredis

Et au passage, on a perdu papili et je n'ai pas de solution à son problème.

[domlas]

Pas tout à fait :

Fenêtre ouverte PLUS porte blindé = même pas HTTP

Barreaux aux fenêtre PLUS porte normale = peut être un peu HTTPS

Donc il vaut mieux être riche et bien portant que malade et pauvre et avoir porte blindée et barreaux aux fenêtres plutôt que porte faible et fenêtres ouvertes.

Là on est bien d'accord.

Quoiqu'il faut aussi se munir d'une vraie porte blindée faite à la demande par un vrai serrurier de haute réputation.

Parce que pour les portes dites blindées vendues en promo dans les grandes surfaces et posées par des malfras, là je reste très septique. En gros t'es volé deux fois, la première fois par le vendeur qui te brade une porte comportant des failles archi-connues et la deuxième fois oar un cambrioleur que la porte n'arrête pas. C'est un peu ce qu'il se passe avec le https qui est une sorte de tout venant, un peu passe partout et maintenant bien trop connu des apprentis hackers. Mais pendant ce temps là le bourgeois se croit totalement protégé parce qu'il utilise la même clé de "sécurité" que tout le monde.

Enfin bon on va en rester là et il est vrai que notre ami n'a pas sa réponse.

[Vinky]

Je crois que tu ne comprends pas comment se passe la sécurité informatique et surtout les attaques...

Il faut arrêter de prendre un ensemble de choses. Un script c'est bête et méchant : Regarde la porte ou regarde la fenetre. Et si c'est comme ça alors agit (et si la couleur est verte plutôt que blanche, bah il s'arrête).

Il n'y a aucune intelligence là dedans...

Les attaques faites par des personnes sont quasi inexistantes en comparaison des scripts. Et c'est donc des scripts qu'il faut se protéger avant tout. Ce que tu indiques c'est pour te protéger d'une personne qui cherche à t'attaquer, mais ça ça n'arrive pratiquement jamais (encore moins pour un particulier, quand c'est le cas, c'est soit personnel contre quelqu'un, soit contre un gros groupe).

Donc ce qu'il faut faire pour protéger un NAS personnel, c'est bloquer les scripts. Et les scripts ce qu'ils aiment bien c'est les mots de passes en clair et les ports ouverts en outrance. Donc on limite ça (ou alors on n'utilise pas ceux par défaut, surtout celui du ssh et des interfaces web), on réduit le nombre d'echec possible avant de se faire bloquer et là tu as bloque 99% des attaques du web pouvant rendre vulnérable ton NAS.

Pour papili, je n'ai malheureusement pas d'idée de comment l'aider. il faudrait qu'il nous donne plus d'information sur sa configuration appliquée, la manière dont il se connecte (navigateur ou application) et ce qu'il appelle "n'est pas accessible"

Modifié le 21 juillet 2014 par Vinky

[pluton212+]

En théorie c'était vrai mais as tu entendu parler du scandale NSA ces derniers temps ? La "protection" https a été cassée depuis longtemps.

Maintenant il faut aussi se poser la bonne question, mes transactions ont-elles un impérieux besoin d'être chiffrées ? C'est à dire vont-elles vraiment intéresser un quelconque malfrat ?

Si tu es un gros banquier qui manipule des milliards, là c'est compréhensible mais il faudra autre chose de plus sérieux que le https.

Et puis il serait assez malin de ne pas attirer la "curiosité" des pirates. Ils seront plus attirés par un trafic sous HTTPS qui devrait être juteux puisque protégé que par du tout venant en HTTP. Si le client ne protège pas ses données c'est que vraisemblablement elles ne valent rien.

Il existe aujourd'hui une véritable paranoïa du piratage, de vol de données et autres terreurs du même tonneau.

Pour les accès web en https il te faut abandonner le port et paramétrer le port 443 d'entrée dans le routeur (box) vers le syno par le port de sortie .

Comme dans bien des domaines les techniques les plus simples sont bien souvent les plus efficaces et avant de partir en vrille dans les "cryptages" et autres trucs tordus il faudra déjà commencer par supprimer les identifiants "classiques" comme admin, bien paramétrer la protection web du syno. Elle est toute bête mais très efficace en bloquant l'accès au syno après 5 tentatives infructueuses d'entrées en moins de 10 mn.

Eviter d'utiliser les dossiers préinstallés sur le syno comme photo ou vidéo que tous le monde connait.

Modifier aussi sa plage d'adressage du réseau interne avec les très connus 192.168.0.1 ou 192.168.1.1

Et il y a plein d'autres astuces similaires.

Ca fait 8 à 10 ans que j'utilise des synos, beaucoup en petit serveur web et surtout beaucoup en FTP entre ma fille dans le Var, mon pote et ses 6 boutiques en RP avec des dizaines d'échanges de fichiers chaque jours et aucune anicroche, jamais !

Et j'oubliais dans les précautions simples mais terriblement efficaces, je ne vais plus jamais dans les bordels virtuels aux nénettes plastifiées, les sites de rencontres et encore moins sur les plates formes plutôt pas très légales de téléchargements plus ou moins pirates...

Donc de simples photos de famille ont elles un réel besoin de se balader en fourgon blindé ? C'était bien connu que les fourgons blindés attiraient les convoitises. Et puis si au passage on perd la photo de la belle doche j'en connais qui n'en feront pas une crise cardiaque.

Donc si j'ai bien compris, avec ce https tout pourri si je paye un truc en ligne via ce protocole à un marchand ultra sérieux qui utilise la validation par sms, j'expose mes coordonnées bancaires (enfin mon N° de carte one shot) au monde entier???

Si https est aussi foireux que ça, il faut l'éradiquer très vite.

Modifié le 22 juillet 2014 par pluton212+