Muse_stream Posté(e) le 26 janvier 2017 Posté(e) le 26 janvier 2017 Hello, Je découvre doucement les fonctionnalités de serveur de mon NAS et je réfléchis à l'opportunité de remettre online quelques sites dont j'avais fini par arrêter de payer l'hébergement ... Je me demandais : si un de mes sites présente une sérieuse faille de sécurité (codé à la main, caractère après caractère, amateur passionné à l'époque), cela peut-il mettre en danger les données du NAS (Cloud Station et autres) ? Ou est-ce que les dégâts seront cantonnés au dossier web et www ? Y a-t-il un risque par exemple d'attirer l'attention sur mon NAS et que mon identifiant soit spécifiquement visé dans le décours ? Merci d'avance :) 0 Citer
Einsteinium Posté(e) le 26 janvier 2017 Posté(e) le 26 janvier 2017 Si tu n'ouvres pas les vannes au serveur web, le seul danger d'une faille sera l'accès du dossier web et de la base de donnée liée. Bref prévoir une sauvegarde régulière de ses derniers. 0 Citer
Fenrir Posté(e) le 26 janvier 2017 Posté(e) le 26 janvier 2017 @Einsteinium Désolé de te contredire ouvertement (tu n’acceptes pas les MP) mais si son code est vraiment troué, les risques sont assez grand. Je ne vais certainement pas expliquer comment ici, mais si le code est vraiment mauvais, on peut très facilement accéder à une bonne partie du nas (peut être tout, je n'ai pas pris le temps de chercher). À titre d'exemple, via webstation, j'ai très facilement récupéré les informations de connexion de ma caméra (pass inclus). 0 Citer
Einsteinium Posté(e) le 26 janvier 2017 Posté(e) le 26 janvier 2017 Ah oui j'ai ma boîte pleine de MP, je vais faire la purge Oui c'est pour ça que je disais ne de pas ouvrir les vannes du serveur Cela me rappel le bon vieux temps... (je te le raconterai en MP 0 Citer
Fenrir Posté(e) le 26 janvier 2017 Posté(e) le 26 janvier 2017 il y a 1 minute, Einsteinium a dit : Oui c'est pour ça que je disais ne de pas ouvrir les vannes du serveur Même en resserrant au max les options de WebStation, je passe à travers La seule protection ici c'est de sécuriser son code ... (ou docker, mais c'est une autre histoire) 1 Citer
Muse_stream Posté(e) le 27 janvier 2017 Auteur Posté(e) le 27 janvier 2017 eh ben, pas rassurant mais Fenrir, tu passes à travers parce qu'il y a une quand même assez grosse faille quelque part dans le code ?! je m'y suis remis depuis hier et en relisant mon code (2014, ça fait bizarre), ça me semble assez correct juste que j'avais la flemme de coder un forum et que j'avais étendu la gestion des membres du forum à la totalité du site (pour les commentaires, etc) en me basant sur le système du forum : par sécurité, je vais virer tout ce versant que je contrôle nettement moins... à la limite, une fois le site remis sur pieds je te le soumettrai pour tests 0 Citer
Fenrir Posté(e) le 27 janvier 2017 Posté(e) le 27 janvier 2017 il y a 39 minutes, Muse_stream a dit : mais Fenrir, tu passes à travers parce qu'il y a une quand même assez grosse faille quelque part dans le code ?! Oui, j'ai volontairement créé un code avec un gros trou, mais si le syno avait été mieux protégé en interne (process et droits sur le système de fichiers), je n'aurai pas pu fait grand chose en dehors du dossier web et de truc sans risques. 1 Citer
gaetan.cambier Posté(e) le 29 janvier 2017 Posté(e) le 29 janvier 2017 Ça me rassure pas ça ... webstation tourne sur un compte particulier non ? Http me semble 0 Citer
Einsteinium Posté(e) le 29 janvier 2017 Posté(e) le 29 janvier 2017 Perso la je viens de voir sur dsm 6, il y a une plus grande ouverture de configuration pour web station... voilà qui améliora pas la sécurité des utilisateurs lambda fouineurs @gaetan.cambier il y a un utilisateur avec les droits de lecture sur web par défaut, pour les applications qui en dépendent je pense... 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.