Sorry man .quote:Op dinsdag 23 mei 2017 17:24 schreef MeesterPlusser het volgende:
Ik zat net ff lekker door je NAS heen te boeren....
Wat een vunzigheid hè?quote:Op dinsdag 23 mei 2017 17:24 schreef MeesterPlusser het volgende:
Ik zat net ff lekker door je NAS heen te boeren....
Dat met die aal kan ik niet meer van mijn netvlies krijgen.quote:Op dinsdag 23 mei 2017 17:26 schreef MeesterPlusser het volgende:
[..]
Ik kan daar godnondeju wel 10 topics over openen
De oprichter ervan is dood.quote:
wutquote:Op dinsdag 23 mei 2017 17:20 schreef jogy het volgende:
Denk ik alles redelijk goed dicht te hebben gezet op mijn routertje want synology apparaten hebben nogal de neiging om bereikbaar te zijn op je externe netwerkadres via portnummertjes (bijvoorbeeld 5000 )
Nu wel. En het is extern niet meer bereikbaar. Dus een beetje overkill. Ik was juist van plan om via mijn nieuw geregistreerde domein een inlogfaciliteit te maken voor mijn synology dus was een beetje aan het rondkloten. Als ik het nu weer instel doe ik het gewoon zoals het hoort. Via transip kan je voor weinig een certificaat krijgen die ik ervoor kan gebruiken.quote:Op dinsdag 23 mei 2017 17:42 schreef zarGon het volgende:
Standaard poorten gebruiken.
Geen HTTPS, maar HTTP (5000).
Geen wachtwoorden instellen (waarom gebruik je geen password manager?).
Je hebt vast en zeker 2-step verification ook niet aangezet?
Waarom niet gewoon via Synology zelf? Daar heb je al een certificaat voor op je NAS; DSM op HTTPS zetten en het zou goed moeten gaan.quote:Op dinsdag 23 mei 2017 17:50 schreef jogy het volgende:
[..]
Nu wel. En het is extern niet meer bereikbaar. Dus een beetje overkill. Ik was juist van plan om via mijn nieuw geregistreerde domein een inlogfaciliteit te maken voor mijn synology dus was een beetje aan het rondkloten. Als ik het nu weer instel doe ik het gewoon zoals het hoort. Via transip kan je voor weinig een certificaat krijgen die ik ervoor kan gebruiken.
Wat heb je wel in huis op je netwerk? Ik vind die upnp wel een beetje een eng ding eerlijk gezegd . Maar als het goed is heb je ook een lijst met interne adressen en de porten die ze open hebben gezet. Het enige wat je moet doen is via whatsmyip.org je externe ip adres bemachtigen en :[portnummer] (zonder brackets) erachter plakken om te zien wat je krijgt.quote:Op dinsdag 23 mei 2017 17:45 schreef nogeenoudebekende het volgende:
Eckte IT n00b hier...
Als ik dat Synology, Sonarr en Deluge niet heb kan ik upnp gewoon aanlaten?
Stop even.. je gaat geld weggooien.quote:Op dinsdag 23 mei 2017 17:50 schreef jogy het volgende:
[..]
Nu wel. En het is extern niet meer bereikbaar. Dus een beetje overkill. Ik was juist van plan om via mijn nieuw geregistreerde domein een inlogfaciliteit te maken voor mijn synology dus was een beetje aan het rondkloten. Als ik het nu weer instel doe ik het gewoon zoals het hoort. Via transip kan je voor weinig een certificaat krijgen die ik ervoor kan gebruiken.
Selfsigned certificate bedoel je? Of dat ddns van synology?quote:Op dinsdag 23 mei 2017 17:54 schreef zarGon het volgende:
[..]
Waarom niet gewoon via Synology zelf?
...
LetsEncypt ;-)quote:Op dinsdag 23 mei 2017 17:55 schreef jogy het volgende:
[..]
Selfsigned certificate bedoel je? Of dat ddns van synology?
Als je hulp nodig hebt, just lemme knowquote:Op dinsdag 23 mei 2017 17:57 schreef jogy het volgende:
Oooh op die fiets. Dank heren, ik zal er eens induiken .
PC/Laptop PS4 Xbone/360 Chromecast en een sloot tablets en telefoons. Het "standaard" spul zeg maar...quote:Op dinsdag 23 mei 2017 17:54 schreef jogy het volgende:
[..]
Wat heb je wel in huis op je netwerk? Ik vind die upnp wel een beetje een eng ding eerlijk gezegd . Maar als het goed is heb je ook een lijst met interne adressen en de porten die ze open hebben gezet. Het enige wat je moet doen is via whatsmyip.org je externe ip adres bemachtigen en :[portnummer] (zonder brackets) erachter plakken om te zien wat je krijgt.
Zal ik zeker doen, Wat jij hebt is ook wat ik dus voor elkaar wil knutselen. Maar uiteraard eerst zelf de mijn hersenen laten kraken.quote:Op dinsdag 23 mei 2017 17:59 schreef pnxsinned het volgende:
[..]
Als je hulp nodig hebt, just lemme know
Waarom zou je een publiekcertificaat op je priveNAS installeren?quote:
Omdat TS het apparaat via internet gaat benaderen en je dan het groen slotje wilt.quote:Op dinsdag 23 mei 2017 18:03 schreef vaduz het volgende:
[..]
Waarom zou je een publiekcertificaat op je priveNAS installeren?
dus? Dat kan de TS niet bereiken met zijn eigen certificaten op zijn eigen apparatuur?quote:Op dinsdag 23 mei 2017 18:06 schreef pnxsinned het volgende:
[..]
Omdat TS het apparaat via internet gaat benaderen en je dan het groen slotje wilt.
Nou.. leg uit, hoeveel stappen wil je op alle clients doen?quote:Op dinsdag 23 mei 2017 18:07 schreef vaduz het volgende:
[..]
dus? Dat kan de TS niet bereiken met zijn eigen certificaten op zijn eigen apparatuur?
Je bedoeld een self signed ding en deze dan importeren op de plekken waar ik normaliter mee verbind of zo?quote:Op dinsdag 23 mei 2017 18:07 schreef vaduz het volgende:
[..]
dus? Dat kan de TS niet bereiken met zijn eigen certificaten op zijn eigen apparatuur?
DDNS van Synology is minste koppijn en snelste.quote:Op dinsdag 23 mei 2017 17:55 schreef jogy het volgende:
[..]
Selfsigned certificate bedoel je? Of dat ddns van synology?
Certificaat aan certificaatbeheer van het besturingssysteem toevoegen.quote:Op dinsdag 23 mei 2017 18:10 schreef pnxsinned het volgende:
[..]
Nou.. leg uit, hoeveel stappen wil je op alle clients doen?
Zulke apparaten wil je sowieso niet gebruiken met je vertouwelijke informatie.quote:kunnen ook niet lang all devices.
Are you kidding me?quote:Op dinsdag 23 mei 2017 18:11 schreef vaduz het volgende:
[..]
Certificaat aan certificaatbeheer van het besturingssysteem toevoegen.
[..]
Zulke apparaten wil je sowieso niet gebruiken met je vertouwelijke informatie.
quote:Op dinsdag 23 mei 2017 18:10 schreef jogy het volgende:
[..]
Je bedoeld een self signed ding en deze dan importeren op de plekken waar ik normaliter mee verbind of zo?
Dat is op zich wel waar. Al heb ik nu al een website gereserveerd die ik ervoor wil gebruiken. Heel veel meer koppijn hoeft dat niet te geven lijkt me.quote:Op dinsdag 23 mei 2017 18:10 schreef zarGon het volgende:
[..]
DDNS van Synology is minste koppijn en snelste.
Ja, ik wil onder geen beding dat een TV toegang heeft tot mijn Administratie, daar ik onvoldoende controle heb over de veiligheidsvoorzieningen en de bijwerking daarvan op het apparaat.quote:Op dinsdag 23 mei 2017 18:12 schreef pnxsinned het volgende:
[..]
Are you kidding me?
SmartTV's? Mobiele Telefoons? etc etc.
Je zou natuurlijk een certificaat aankunnen maken op ip-adres, indien je een vast ip-adres hebt. Indien je gebruikt maakt van een dynamisch ip-adres zul je al gebruik moeten maken van een dienst als dyndns, welke je natuurlijk ook voor een vast adres zou kunnen gebruiken.quote:Buiten dat, het domain resolved vanaf het internet, je zult dus hosts file moeten aanpassen, en dat is het laatste wat je wilt doen op devices.
want?quote:Op dinsdag 23 mei 2017 18:12 schreef pnxsinned het volgende:
je moet je CA gaan vertrouwen op de devices... dat is pas een security risk.
Je wilt geen CA importen die niet officieel is en via het internet laten lopen.quote:Op dinsdag 23 mei 2017 18:16 schreef vaduz het volgende:
[..]
Ja, ik wil onder geen beding dat een TV toegang heeft tot mijn Administratie, daar ik onvoldoende controle heb over de veiligheidsvoorzieningen en de bijwerking daarvan op het apparaat.
[..]
Je zou natuurlijk een certificaat aankunnen maken op ip-adres, indien je een vast ip-adres hebt. Indien je gebruikt maakt van een dynamisch ip-adres zul je al gebruik moeten maken van een dienst als dyndns, welke je natuurlijk ook voor een vast adres zou kunnen gebruiken.
https://security.stackexc(...)orking-over-internetquote:
hoezo dan niet?quote:Op dinsdag 23 mei 2017 18:19 schreef pnxsinned het volgende:
[..]
Je wilt geen CA importen die niet officieel is en via het internet laten lopen.
onzinquote:het is ook een prutswerk als je het zo bouwt.
Lees je inquote:
Nee, ik zie daar geen enkel argument. Misschien moet je met een wat concreter citaat komen.quote:Op dinsdag 23 mei 2017 18:19 schreef pnxsinned het volgende:
[..]
https://security.stackexc(...)orking-over-internet
Wellicht begrijp je het e.e.a dan wat beter..
Wilde jou eigenlijk hetzelfde advies gevenquote:
Op apparaten die uberhaupt al niet de juiste voorzieningen hebben om veilig verbinding te maken met je NAS. Dergelijke apparaten wil je bij voorbaat uitsluiten.quote:En nee geen onzin, diverse dingen werken er simpelweg niet middels jouw methode. Simple as that
Apparaten die je niet voldoende kunt configureren wil je sowieso geen toegang geven tot je vertrouwelijke informatie.quote:Gewoon zonde om de helft van maar unsecure te doen, en de paar dingen (Websites bv) die wel werken via https.
Je snapt het dus niet... goed, niet erg, dan geef je dat aan.quote:Op dinsdag 23 mei 2017 18:22 schreef vaduz het volgende:
[..]
Nee, ik zie daar geen enkel argument. Misschien moet je met een wat concreter citaat komen.
1: Nee, je snapt het niet.quote:Op dinsdag 23 mei 2017 18:24 schreef vaduz het volgende:
[..]
Wilde jou eigenlijk hetzelfde advies geven
[..]
Op apparaten die uberhaupt al niet de juiste voorzieningen hebben om veilig verbinding te maken met je NAS. Dergelijke apparaten wil je bij voorbaat uitsluiten.
[..]
Apparaten die je niet voldoende kunt configureren wil je sowieso geen toegang geven tot je vertrouwelijke informatie.
Je bent 1 stap vergeten.. anders gaat dit niet werkenquote:Op dinsdag 23 mei 2017 18:30 schreef Zwimpie het volgende:
Oké ik zal het kort en bondig houden. Dit probleem word hoogst waarschijnlijk veroorzaakt door een malafide bestand. Vaak veroorzaakt de system32 map in Windows deze problemen.
Maar het probleem is dat die map vaak vergrendeld word door een virus. En je hem dus niet kan verwijderen. Doe de volgende stappen en alles zal goedkomen:
1. Open cmd en type het volgende in: takeown /f C:\Windows\System32
2. Voer nu de volgende command in: Icacls C:\Windows\System32
Druk hierna op enter!
3. Ga nu naar Windows verkenner en zoek de System32 map
4. Verwijder de map en het probleem zal opgelost worden
Twijfel eigenlijk meer aan jouw competentie.quote:Op dinsdag 23 mei 2017 18:25 schreef pnxsinned het volgende:
[..]
Je snapt het dus niet... goed, niet erg, dan geef je dat aan.
Dus? Wat is daar het probleem mee? Als de TS al de computer waarop hij het certificaat aanmaakt niet vertrouwd, hoe gaat hij daarop dan uberhaupt veilig zijn data op verwerken?quote:Als TS een cert zelf maakt, moet de UITGEVER trusted worden door het OS, dus imported worden.
Wat versta jij onder een "huis tuin en keuken device" en waarom zou dit niet als uitgever van een certificaat kunnen dienen? Wat voor apparatuur gebruiken volgens jou publieke uitgevers van certificaten?quote:Je wilt geen huis tuin en keuken device als trusted CA in je OS hebben.
Nee, hoor. Zoals ik in mijn eerdere post heb aangegeven moet je het certificaat dus laten beheren door het certificaatbeheer van het besturingssysteem. Over browsers heb ik dus helemaal niet gesproken.quote:En het is ook niet te houden, elk device/programma moet je dat doen (Mits het überhaupt supported wordt). Jij denkt geloof ik enkel in browsers, maar vergeet alle andere devices en dingen wat synology met een certificaat doet.
Nee, dat weet ik niet en dat zou ik wel eens graag uitgelegd zien worden. Zolang je een besturingssysteem hebt waar je zelf certificaten kunt beheren zie ik geen probleem.quote:VPN werkt niet met jouw methode, Secure Streaming werkt niet, Webdav via HTTPS werkt niet, Carddav werkt niet, Plex zal niet werken etc etc. Weet je waarom?
Dat zul je toch enigszins moeten onderbouwen. Je werkt heel erg de indruk een tiener te zijn die het een en ander heeft gelezen, maar niet het fijne er van af weet.quote:Omdat het prutswerk is
Security regel je in de hele keten. Je security is zo sterk als de zwakste schakel. Apparaten waar je geen certificaten kunt beheren, wil je niet in (het veilige deel van) je netwerk hebben.quote:Op dinsdag 23 mei 2017 18:28 schreef pnxsinned het volgende:
2: Security dwing je af op de server, niet op de client/device.
Heb geen zin met mensen te praten die op de man spelen, en ook nog onzin spuwen.quote:Op dinsdag 23 mei 2017 18:35 schreef vaduz het volgende:
[..]
Security regel je in de hele keten. Je security is zo sterk als de zwakste schakel. Apparaten waar je geen certificaten kunt beheren, wil je niet in (het veilige deel van) je netwerk hebben.
Denk dat je dan eventjes in de spiegel moet kijken.quote:Op dinsdag 23 mei 2017 18:41 schreef pnxsinned het volgende:
[..]
Heb geen zin met mensen te praten die op de man spelen, en ook nog onzin spuwen.
Nee, dat zeg ik dus helemaal niet. Misschien moet je mijn posts nog maar een keertje lezen.quote:VPN was maar een voorbeeld, hoe voorzie jij je smartphone van een CA trust? Niet.
Hoe doe je dat op je SmartTV? Niet.
Dus die diensten moeten dan maar unsecure met dat gepruts van jouw.
Ja en dat is ook het idee. Het is TS zijn NAS waarop hij alleen toegang hoort te hebben op apparaten die onder zijn beheer zijn. De TS kan uberhaupt niet een veilige gegevensverwerking op apparaten van derde partijen garanderen (tenzij hij periodiek een audit laat doen door een gespecialiseerde organisatie).quote:Het gebruik van selfsigned certs op internet is enkel veilig wanneer TS dus ELK device beheert waar het pakketje langskomt
Denken dat TS elke router beheert op het internet waar het pakketje langsgaat.quote:Op dinsdag 23 mei 2017 18:45 schreef vaduz het volgende:
[..]
Denk dat je dan eventjes in de spiegel moet kijken.
[..]
Nee, dat zeg ik dus helemaal niet. Misschien moet je mijn posts nog maar een keertje lezen.
[..]
Ja en dat is ook het idee. Het is TS zijn NAS waarop hij alleen toegang hoort te hebben op apparaten die onder zijn beheer zijn. De TS kan uberhaupt niet een veilige gegevensverwerking op apparaten van derde partijen garanderen (tenzij hij periodiek een audit laat doen door een gespecialiseerde organisatie).
Ik heb jou 3 linkjes even doorgenomen en daar zie ik geen enkel argument voorbij komen wat jou verhaal ondersteund. De 2e site is sowieso weinig informatief (vraag, antwoord sites zijn bij de weg zelden goede bronnen), de 3e gaat over het gebruiken van self-signed certificaten voor de dienstverlening aan derden, de 1e site geeft terecht aan dat intern gebruik van self-signed certificaten een ongewenst psychologisch effect kan hebben, echter treed dat op bij onjuiste implementatie en heeft dat geen technische oorzaak.quote:Op dinsdag 23 mei 2017 18:41 schreef pnxsinned het volgende:
https://www.globalsign.co(...)signed-certificates/
https://serverfault.com/q(...)ver-internet-why-not
En dan waarom de hele setup met selfsigned shit unsecure is:
https://www.sslshopper.co(...)ates-acceptable.html
Waarom zou TS dat moeten? Waar denk je dat end-to-end encryption voor staat?quote:Op dinsdag 23 mei 2017 18:47 schreef pnxsinned het volgende:
[..]
Denken dat TS elke router beheert op het internet waar het pakketje langsgaat.
Misschien heb je dit stuk gemist, merk dat lezen niet je sterkste kant is:quote:Op dinsdag 23 mei 2017 18:51 schreef vaduz het volgende:
[..]
Ik heb jou 3 linkjes even doorgenomen en daar zie ik geen enkel argument voorbij komen wat jou verhaal ondersteund. De 2e site is sowieso weinig informatief (vraag, antwoord sites zijn bij de weg zelden goede bronnen), de 3e gaat over het gebruiken van self-signed certificaten voor de dienstverlening aan derden, de 1e site geeft terecht aan dat intern gebruik van self-signed certificaten een ongewenst psychologisch effect kan hebben, echter treed dat op bij onjuiste implementatie en heeft dat geen technische oorzaak.
Misschien niet jouw sterkste kant. Vraag me ook af waarom je niet gelijk met de kern van je verhaal kunt komen.quote:Op dinsdag 23 mei 2017 18:53 schreef pnxsinned het volgende:
[..]
Misschien heb je dit stuk gemist, merk dat lezen niet je sterkste kant is:
Inderdaad een risico, als je je key onversleuteld over het internet stuurt. Maar dat is hier natuurlijk niet het geval, de TS stelt zijn key thuis in op zijn eigen apparaten. Daarna kan hij ze dus overal veilig gebruiken, zonder dat van het hierboven geschetste scenario sprake is.quote:Because the Internet works by passing data from router to router until your data gets to it's destination. Every router in between is an opportunity for malicious code on that router to re-write your packet, and you'd never know the difference, unless you have some way to verify that the packet is from the trusted server.
A crypto key, if you have the correct key, can verify for you that the data hasn't been tampered with. The problem is, however, that before you can begin encrypted communications, you must do an unencrypted key exchange, where the server gives you it's crypto key. Here's where the man-in-the-middle has an opportunity. If your traffic is going through my router, I can intercept the self-signed key from the server, and generate a new self-signed key with the same server name, etc in it, so that it looks like the self-signed key from your server, but which allows me to decrypt the communications between you and the server. My router then establishes a connection to the server using the correct key, and as data passes between you and the server, I unencrypt the data using the real key, then re-encrypt it using the 'fake' key. So, the data is encrypted between me and the server, and between me and you, but gets unencrypted in my router, giving me the opportunity to spy on your data, or even alter if if I want.
Onzin, je hebt nog steeds niet kunnen aantonen waarom het niet veilig is.quote:Veel geluk met jouw setup, waarin maar de helft werkt en niet secure is.
En je bent afhankelijk van derde partijen.quote:@TS: Synology heeft letsencrypt buildin zitten op synology, klik klik en het is klaar. Veel minder werk en je hebt _alles_ secure, zonder onzin uit te halen op de clients.
Jouw gepruts is onveilig, teveel werk op de clients (Wat de hele boel dus onveilig maakt), en helft werkt niet.quote:Op dinsdag 23 mei 2017 18:59 schreef vaduz het volgende:
[..]
Misschien niet jouw sterkste kant. Vraag me ook af waarom je niet gelijk met de kern van je verhaal kunt komen.
[..]
Inderdaad een risico, als je je key onversleuteld over het internet stuurt. Maar dat is hier natuurlijk niet het geval, de TS stelt zijn key thuis in op zijn eigen apparaten. Daarna kan hij ze dus overal veilig gebruiken, zonder dat van het hierboven geschetste scenario sprake is.
[..]
Onzin, je hebt nog steeds niet kunnen aantonen waarom het niet veilig is.
[..]
En je bent afhankelijk van derde partijen.
toch slaag jij er niet in om dat te onderbouwen.quote:
kan een argument zijn.quote:teveel werk op de clients
onzinquote:(Wat de hele boel dus onveilig maakt),
ik stel veiligheid boven functionaliteit, lijkt mij een zeer goed principequote:en helft werkt niet.
Dat apparaat is een NAS en geen webserver. Misschien moet je je eens inlezen in de basisfunctionaliteit van een dergelijk apparaat.quote:Met een synology kan je meer dingen dan websites hosten,
Ja, zie daar niet het probleem van. De uitgever van jouw besturingssysteem doet dat toch ook? Als je veilig wilt wezen moet je eigenlijk sowieso controleren welke certificaten er standaard meekomen met je besturingssysteem.quote:en buiten dat, jij verwacht dat TS lekker op al zijn devices Root CA gaat adden, om dingen trusted te laten worden?
Op apparaten waar je certificaten kunt beheren, geen enkel probleem. Andere apparaten zijn sowieso een veiligheidsrisico, dus die wil je niet in je netwerk.quote:Hoe wilt hij multimedia gaan streamen secure op zijn devices?
Een eigen root CA vertrouwen wil je op geen enkele client, dat alleen al vind ik een security risk. Heel simpelquote:Op dinsdag 23 mei 2017 19:08 schreef vaduz het volgende:
[..]
toch slaag jij er niet in om dat te onderbouwen.
[..]
kan een argument zijn.
[..]
onzin
[..]
ik stel veiligheid boven functionaliteit, lijkt mij een zeer goed principe
[..]
Dat apparaat is een NAS en geen webserver. Misschien moet je je eens inlezen in de basisfunctionaliteit van een dergelijk apparaat.
[..]
Ja, zie daar niet het probleem van. De uitgever van jouw besturingssysteem doet dat toch ook? Als je veilig wilt wezen moet je eigenlijk sowieso controleren welke certificaten er standaard meekomen met je besturingssysteem.
[..]
Op apparaten waar je certificaten kunt beheren, geen enkel probleem. Andere apparaten zijn sowieso een veiligheidsrisico, dus die wil je niet in je netwerk.
onnodig dusquote:Op dinsdag 23 mei 2017 19:02 schreef pnxsinned het volgende:
En m.b.t. letsencrypt: Nog nooit last gehad dat die eruit lag, maar het is ook maar 1 moment per 3 maanden dat die het nodig heeft,
Niemand garandeert de dienstverlening en de huidige prijsstructuur van letsencrypt. Je hebt er extra software voor nodig op je apparaat, waar potentieel beveiligingsproblemen in kunnen zitten. Verder kan gemak nooit een argument zijn in beveiligingskwesties.quote:en dat polled DSM zelf. Waarom dingen zo super lastig, als het ook klik klik kan.
Jij kent LetsEncrypt duidelijk niet..quote:Op dinsdag 23 mei 2017 19:11 schreef vaduz het volgende:
[..]
onnodig dus
[..]
Niemand garandeert de dienstverlening en de huidige prijsstructuur van letsencrypt. Je hebt er extra software voor nodig op je apparaat, waar potentieel beveiligingsproblemen in kunnen zitten. Verder kan gemak nooit een argument zijn in beveiligingskwesties.
Jij vind dat dus. Het is dus jouw mening, die je verder niet kunt onderbouwen.quote:Op dinsdag 23 mei 2017 19:11 schreef pnxsinned het volgende:
[..]
Een eigen root CA vertrouwen wil je op geen enkele client, dat alleen al vind ik een security risk. Heel simpel
Ja en dan is het dus niet veilig, omdat de verbinding tussen je TV en de NAS misschien wel veilig is, maar het apparaat zelf dus niet wegens gebrek aan beheermogelijkheden. Hackers kunnen dan je TV hacken en daarna beveiligd verbinding maken met je NAS en via je TV de hele administratie inzien.quote:En we hebben het hier over een synology (consumenten versie),
en helaas kan je idd geen certs beheren op bv een SmartTV. Maar ik wil dat toch secure hebben, en dat gaat heel simpel, klik klik in DSM.
Nee, dat wil ik niet, want daar kan ik dus blijkbaar geen initieele veiligheidsinstellingen regelen, waarmee het een onveilig apparaat wordt, wat ik absoluut niet in (het veilige deel van) mijn netwerk wil hebben.quote:Zonder gepruts van jouw op de clients. En ja, ik wil mijn smartTV in het netwerk houden en neem aan iedereen wel.
Security dwing je ketenbreed af en is zo sterk als de zwakste schakel.quote:Non argument dus, nogmaals, security dwing je af vanaf de server.
Vraag me af, op basis waarvan jij dat concludeert.quote:Op dinsdag 23 mei 2017 19:14 schreef pnxsinned het volgende:
[..]
Jij kent LetsEncrypt duidelijk niet..
Fatsoenlijke certificaten hebben een geldigheidsduur van wel meer als 3 maanden en worden via andere mechanismes bijgewerkt.quote:Het moet wel als je cert vernieuwd moet worden, niet onnodig dus. Dit geld trouwens voor elke CA.
Precies het is extra software, die weliswaar standaard aanwezig is, maar die je ook had uit kunnen laten staan.quote:Extra software? Waar? Het zit default in DSM,
Betekend nog niet dat hij vrij is van exploits, enkel dat hij mogelijk na ontdekking van een exploit geupdated wordt.quote:en deze wordt geregeld voorzien van security updates vanuit synology.
Gemak ja. Beter, zul je toch echt even moeten onderbouwen.quote:Gemak, en velen malen beter dan een selfsigned iets.
1: Net zoals het jouw mening is dat het wel secure is, die jij ook verder niet kunt onderbouwen it seems.quote:Op dinsdag 23 mei 2017 19:16 schreef vaduz het volgende:
[..]
Jij vind dat dus. Het is dus jouw mening, die je verder niet kunt onderbouwen.
[..]
Ja en dan is het dus niet veilig, omdat de verbinding tussen je TV en de NAS misschien wel veilig is, maar het apparaat zelf dus niet wegens gebrek aan beheermogelijkheden. Hackers kunnen dan je TV hacken en daarna beveiligd verbinding maken met je NAS en via je TV de hele administratie inzien.
[..]
Nee, dat wil ik niet, want daar kan ik dus blijkbaar geen initieele veiligheidsinstellingen regelen, waarmee het een onveilig apparaat wordt, wat ik absoluut niet in (het veilige deel van) mijn netwerk wil hebben.
[..]
Security dwing je ketenbreed af en is zo sterk als de zwakste schakel.
1: De beste security zit hem in korte certs, just fyi.quote:Op dinsdag 23 mei 2017 19:21 schreef vaduz het volgende:
[..]
Vraag me af, op basis waarvan jij dat concludeert.
[..]
Fatsoenlijke certificaten hebben een geldigheidsduur van wel meer als 3 maanden en worden via andere mechanismes bijgewerkt.
[..]
Precies het is extra software, die weliswaar standaard aanwezig is, maar die je ook had uit kunnen laten staan.
[..]
Betekend nog niet dat hij vrij is van exploits, enkel dat hij mogelijk na ontdekking van een exploit geupdated wordt.
[..]
Gemak ja. Beter, zul je toch echt even moeten onderbouwen.
Mij dunkt dat vooral jij moeite hebt iets te onderbouwen. Kinderachtig om proberen de bewijslast om te draaien, nu ik je vorige argumenten (o.a. die betreffende het versturen van het certificaat over het internet) onderuit heb gehaald.quote:Op dinsdag 23 mei 2017 19:21 schreef pnxsinned het volgende:
[..]
1: Net zoals het jouw mening is dat het wel secure is, die jij ook verder niet kunt onderbouwen it seems.
Ja, maar daarmee is het nog niet veilig. Ik kan met mij windows xp computer ook wel een beveiligde verbinding met de NAS waar jij jouw letsencrypt certificaatje hebt ingesteld leggen. Maar dat maakt het absoluut nog niet veilig. Integendeel.quote:2: Ehh, de TV connect dan juist WEL secure, weet je waarom? Omdat het een Valid Cert is van een Valid CA! Jij snapt er echt geen bal van.
leg dan uit.quote:3: Nogmaals laat dit zien, dat je het echt niet snapt.
Denk dat je beter moet lezen, sorry.quote:4: Nee, vanaf de server, want jij denkt hoe ik het lees, dat clients dan unsecure gaan doen omdat er geen custom CA imported kan worden wat ik dus een security risk vind
Dat iemand hier zich voor lul zet lijkt mij evident. Wie dat dan is laat ik maar even in het midden.quote:Je hebt je nogal voor lul gezet, en stop nu dan maar ook
Onzin. Heb je de geldigheidsduur van Rootcertificaten wel eens gezien?quote:Op dinsdag 23 mei 2017 19:25 schreef pnxsinned het volgende:
[..]
1: De beste security zit hem in korte certs, just fyi.
quote:2: De webserver? Die is nodig voor heel DSM.
Wat probeer je hiermee te zeggen?quote:3: Exploits komen voor op alle routers en/of proxy servers die rechtstreeks aan het internet hangen, dus non argument. Guess wat DSM doet? Juist, proxy.
Eh nee, dat heb je niet. Door alle clients te saboteren is het hele gedoe niet secure mijn inziens. Het is een mening, hoe jij jouw mening hebt.quote:Op dinsdag 23 mei 2017 19:27 schreef vaduz het volgende:
[..]
Mij dunkt dat vooral jij moeite hebt iets te onderbouwen. Kinderachtig om proberen de bewijslast om te draaien, nu ik je vorige argumenten (o.a. die betreffende het versturen van het certificaat over het internet) onderuit heb gehaald.
[..]
Ja, maar daarmee is het nog niet veilig. Ik kan met mij windows xp computer ook wel een beveiligde verbinding met de NAS waar jij jouw letsencrypt certificaatje hebt ingesteld leggen. Maar dat maakt het absoluut nog niet veilig. Integendeel.
[..]
1: Nee, dit is geen onzin, ik ga dit niet ook nog eens uitleggen, want het is super logisch als je snapt hoe het e.e.a werkt.quote:Op dinsdag 23 mei 2017 19:30 schreef vaduz het volgende:
[..]
Onzin. Heb je de geldigheidsduur van Rootcertificaten wel eens gezien?
[..]
[..]
Wat probeer je hiermee te zeggen?
Waar sabboteer ik dan iets?quote:Op dinsdag 23 mei 2017 19:30 schreef pnxsinned het volgende:
[..]
Eh nee, dat heb je niet. Door alle clients te saboteren is het hele gedoe niet secure mijn inziens.
Die van jou is helaas bedroevend onderbouwd. Als je nog op de HAVO zit is dat oké, gezien je leeftijd. Als je al wat verder in het leven bent, raad ik je toch aan om kritisch naar jezelf te kijken.quote:Het is een mening, hoe jij jouw mening hebt.
Onbeveiligde connecties sta je niet toe, dus komt er geen verbinding tot stand.quote:Bovenstaande zet je jezelf weer voor lul De TV kan nu tenminste secure connecten, op jouw manier gaat hij unsecure connecten, omdat de cert niet valid is.
Je bedoelt dat je het zelf niet kan uitleggen, ondanks dat het super logisch is?quote:Op dinsdag 23 mei 2017 19:32 schreef pnxsinned het volgende:
[..]
1: Nee, dit is geen onzin, ik ga dit niet ook nog eens uitleggen, want het is super logisch als je snapt hoe het e.e.a werkt.
Nee, jij denkt blijkbaar dat het stukje webserver wat de configuratiepagina's serveert verantwoordelijk is voor de aansturing van de hele NAS.quote:2: Idd, uitgeluld? Geen extra software he?
Nee, zelfs dit kun jij niet uitleggen.quote:3: Zelfs dat snap je niet
Whahahah, 1e 2 punten kerel, mening, #care.quote:Op dinsdag 23 mei 2017 19:33 schreef vaduz het volgende:
[..]
Waar sabboteer ik dan iets?
[..]
Die van jou is helaas bedroevend onderbouwd. Als je nog op de HAVO zit is dat oké, gezien je leeftijd. Als je al wat verder in het leven bent, raad ik je toch aan om kritisch naar jezelf te kijken.
[..]
Onbeveiligde connecties sta je niet toe, dus komt er geen verbinding tot stand.
1: https://www.globalsign.co(...)-lived-certificates/quote:Op dinsdag 23 mei 2017 19:35 schreef vaduz het volgende:
[..]
Je bedoelt dat je het zelf niet kan uitleggen, ondanks dat het super logisch is?
[..]
Nee, jij denkt blijkbaar dat het stukje webserver wat de configuratiepagina's serveert verantwoordelijk is voor de aansturing van de hele NAS.
[..]
Nee, zelfs dit kun jij niet uitleggen.
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.quote:Op dinsdag 23 mei 2017 19:36 schreef pnxsinned het volgende:
[..]
Whahahah, 1e 2 punten kerel, mening, #care.
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?quote:Maar dat laatste stuk, ik heb het hier toch zo werkend. Als ik mijn cert vervang door een selfsigned crap iets, werkt mijn TV streaming INSECURE.
Kon jij het maar super helder uitleggen. Had graag iets geleerd.quote:En nu niet. Je snapt het gewoon niet, terwijl ik het super helder uitleg.
Ik zal het client stuk van de TV uitleggen, zo helder mogelijk:quote:Op dinsdag 23 mei 2017 19:38 schreef vaduz het volgende:
[..]
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.
[..]
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?
[..]
Kon jij het maar super helder uitleggen. Had graag iets geleerd.
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.quote:Op dinsdag 23 mei 2017 19:37 schreef pnxsinned het volgende:
[..]
1: https://www.globalsign.co(...)-lived-certificates/
En daar zijn dus extra instructies voor nodig.quote:2: Webserver handelt het LetsEncypt stuk iig af, en daar ging het om. Verder is het een vereiste voor DSM.
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.quote:3: Je bent behoorlijk dom
En wie heeft daar een audit van gedaan?quote:Ik heb het zelf zo draaien, alles secure al paar jaar. Zonder onderhoud en gedoe op clients. Zelfs mijn streaming werkt secure!
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.quote:Op dinsdag 23 mei 2017 19:42 schreef vaduz het volgende:
[..]
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.
[..]
En daar zijn dus extra instructies voor nodig.
[..]
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.
[..]
En wie heeft daar een audit van gedaan?
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.quote:
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.quote:Op dinsdag 23 mei 2017 19:43 schreef pnxsinned het volgende:
[..]
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.quote:2: Ik werk zelf al jaren in security e.d,
Lijkt me heel verstandig.quote:ik audit het zelf.
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.quote:Op dinsdag 23 mei 2017 19:44 schreef vaduz het volgende:
[..]
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha. Newsflash, meeste degelijke hosters werken met dergelijke systemen.quote:Op dinsdag 23 mei 2017 19:47 schreef vaduz het volgende:
[..]
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.
[..]
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.
[..]
Lijkt me heel verstandig.
Die port, wanneer je die hebt ingesteld, wat je dan zou kunnen doen, is onder Reverse Proxy in DSM, een hostnaam aan je DSM service hangen, en daaraan dan je cert. Aan de inside kant, laat je hem dan connecten naar localhost:<jeport>.quote:Op dinsdag 23 mei 2017 19:42 schreef jogy het volgende:
Lief zijn! .
Ik ben in ieder geval een stukje verder. als ik naar https://synner.[domein]:5001 ga dan kom ik op mijn gecertificeerde (letsencrypt, sorry vaduz ) pagina uit waar ik ook nog een 2 way authentication op heb gesodemieterd. Nu ook in mijn router ingesteld dat die naar mijn lokale ip ga wanneer ik die url in tik, dat geld meteen voor al mijn apparaten dus dat is wel fijn.
Nu nog mijn https:// port veranderen in iets obscuurs. .
En de self-signed tegenover niet self-signed discussie is wel interessant an sich. Als je het overlaat aan een ander instituut geef je potentieel de 'sleutels' weg aan een 'vreemde' maar het is wel meteen geregeld voor alles overal. Self signed heeft het voordeel dat je het vertrouwen niet uit handen geeft maar je zal altijd gezeik houden met browsers en andere zaken. Afwegingen, lastig.
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.quote:Op dinsdag 23 mei 2017 19:50 schreef pnxsinned het volgende:
[..]
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.
Met het SmartTV stuk, klopt het gewoon wat ik zeg, en wat jij zegt is daar onjuist.
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.quote:[..]
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha.
Dus dat maakt het veilig?quote:Newsflash, meeste degelijke hosters werken met dergelijke systemen.
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.quote:2: Denk een stuk meer dan jouw helaas.
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.quote:3: Ik heb diverse externe pentests gedaan, en kom er heel goed mee weg. Maar het testen was overbodig, want ik weet wat ik doe.
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.quote:Nu.. was de uitleg helder wat ik je gegeven had over het SmartTV stuk als voorbeeld?
Blabla hoor ik nu enkel nogquote:Op dinsdag 23 mei 2017 19:57 schreef vaduz het volgende:
[..]
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.
[..]
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.
[..]
Dus dat maakt het veilig?
[..]
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.
[..]
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.
[..]
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?quote:
quote:Het is 100x veiliger en beter dan jouw gepruts.
Ik ben ook gestopt met lezen met NAS externe verbinding doet leggen <insert more blabla>.
Moet je je OS eens zelf kijken, als die checked voor updates? Maar niet meer doen? Had je al gelezen dat het ook secure gebeurd btw?
Hierna nog meer blabla, ik link je wat bronnen, zodat je je kunt inlezen, en doet maar een aanname op basis daarvan.
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?quote:Fijn dat mijn uitleg helder was, en het met jouw gepruts, gewoon niet zal werken icm. een SmartTV. ook al vang je die shit af dat het secure MOET op die server, zal dat in jouw setup niet gaan. Omdat het niet valid is.
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.quote:Op dinsdag 23 mei 2017 20:05 schreef vaduz het volgende:
[..]
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?
[..]
[..]
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?
Je geeft dus geen wederhoor?quote:Op dinsdag 23 mei 2017 20:11 schreef pnxsinned het volgende:
[..]
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.
Nogal voorbarig.quote:Ik wil dat het juist wel werkt voor TS en _secure_ is, en derhalve is mijn setup in dit geval de enige juiste,
Want?quote:en die van jouw onjuist.
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.quote:Het is bij jouw, of het werkt niet, of het is unsecure. Lachwekkend
Nee, bij jouw werkt het niet nogmaals. Moet ik je het SmartTV stuk nog eens uitleggen? Enkel al daarom, is jouw setup onjuist. Dat is namelijk niet werkend te krijgen, met selfsigned certs.quote:Op dinsdag 23 mei 2017 20:14 schreef vaduz het volgende:
[..]
Je geeft dus geen wederhoor?
[..]
Nogal voorbarig.
[..]
Want?
[..]
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.quote:Op dinsdag 23 mei 2017 20:17 schreef pnxsinned het volgende:
[..]
Nee, bij jouw werkt het niet nogmaals.
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?quote:Moet ik je het SmartTV stuk nog eens uitleggen?
Maar er zijn dus volgens jou nog meer argumenten?quote:Enkel al daarom, is jouw setup onjuist.
Dus? Moet je het veiligheidsniveau maar verlagen?quote:Dat is namelijk niet werkend te krijgen, met selfsigned certs.
Dat zegt dan wel het een en ander over jouw competenties.quote:Meer helder kan ik het je niet uitleggen,
TS wilt iets werkends. Van jouw werkt niet.quote:Op dinsdag 23 mei 2017 20:21 schreef vaduz het volgende:
[..]
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.
[..]
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?
[..]
Maar er zijn dus volgens jou nog meer argumenten?
[..]
Dus? Moet je het veiligheidsniveau maar verlagen?
[..]
Dat zegt dan wel het een en ander over jouw competenties.
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.quote:Op dinsdag 23 mei 2017 20:22 schreef pnxsinned het volgende:
[..]
TS wilt iets werkends. Van jouw werkt niet.
1 + 1 = 2.
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.quote:Veel succes met je eigen competenties.
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouwquote:Op dinsdag 23 mei 2017 20:25 schreef vaduz het volgende:
[..]
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.
[..]
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.quote:Op dinsdag 23 mei 2017 20:29 schreef pnxsinned het volgende:
[..]
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouw
Kan je niet lezen of wat is je probleem?quote:Op dinsdag 23 mei 2017 20:32 schreef vaduz het volgende:
[..]
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.
Dat is een vraag die ik eveneens aan jou kan stellen.quote:Op dinsdag 23 mei 2017 20:35 schreef pnxsinned het volgende:
[..]
Kan je niet lezen of wat is je probleem?
Als veiligheid een prioriteit is, dan wel.quote:Op jouw manier kunnen diverse devices en services geen connectie maken. Daar heeft niemand iets aan.
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.quote:Op mijn manier, alles secure, zonder gezeik
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.quote:Op jouw manier is sowiso unsecure, want DSM, kan je niet forcen op enkel SSL,
Dus jij wilt nu beweren dat een Valid cert van een valid CA onveilig is? Alle websites die https hebben zijn niet secure? Wat bazel je nu man, de setup die ik benoem is namelijk juist dat.quote:Op dinsdag 23 mei 2017 20:43 schreef vaduz het volgende:
[..]
Dat is een vraag die ik eveneens aan jou kan stellen.
[..]
Als veiligheid een prioriteit is, dan wel.
[..]
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.
[..]
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.
Nee, waar beweer ik dat dan? Geef eens een citaat?quote:Op dinsdag 23 mei 2017 20:45 schreef pnxsinned het volgende:
[..]
Dus jij wilt nu beweren dat een Valid cert van een valid CA onveilig is?
Een deel van de websites die https aan bieden is veilig, een ander deel niet. Mijn browser waarschuwt zelfs voor bepaalde sites die https aanbieden. Een veilige verbinding is slechts een deel van veilige dataoverdracht en bewerking. Lees je bijvoorbeeld eens in in de PCI standaarden voor een veilige verwerking van betaalkaarten. Dat ga jij dus mooi niet regelen met een letsencryptcertificaatje.quote:Alle websites die https hebben zijn niet secure?
De setup van jou staat onveilige apparaten (waar je zelf niet het certificaatbeheer kan regelen) toe om verbinding te maken met de NAS, waardoor er ongeauthoriseerd toegang verkregen kan worden tot data op de NAS via beveiligingslekken in het onveilige apparaat.quote:Wat bazel je nu man, de setup die ik benoem is namelijk juist dat.
Mijn verhaal is anders behoorlijk consistent. Ik denk dat het eigenlijk meer en meer duidelijk begint te worden dat jij geen jarenlange ervaring hebt op het gebied van informatiebeveiliging. Dat je het niet eens bent met mijn standpunten is natuurlijk jouw goed recht, de manier waarop je ze onderuit probeert te maken en je eigen standpunten probeert te verdedigen is veelzeggend voor jouw opleidingsniveau.quote:Als ik jouw was, zou ik veel meer dingen gaan nalopen, de onzin wordt steeds groter wat je hier roept, puurt om andere onzin van jezelf te verdedigen.
Oh, nu beweren dat je dat niet aangeeft?quote:Op dinsdag 23 mei 2017 20:57 schreef vaduz het volgende:
[..]
Nee, waar beweer ik dat dan? Geef eens een citaat?
[..]
Een deel van de websites die https aan bieden is veilig, een ander deel niet. Mijn browser waarschuwt zelfs voor bepaalde sites die https aanbieden. Een veilige verbinding is slechts een deel van veilige dataoverdracht en bewerking. Lees je bijvoorbeeld eens in in de PCI standaarden voor een veilige verwerking van betaalkaarten. Dat ga jij dus mooi niet regelen met een letsencryptcertificaatje.
[..]
De setup van jou staat onveilige apparaten (waar je zelf niet het certificaatbeheer kan regelen) toe om verbinding te maken met de NAS, waardoor er ongeauthoriseerd toegang verkregen kan worden tot data op de NAS via beveiligingslekken in het onveilige apparaat.
[..]
Mijn verhaal is anders behoorlijk consistent. Ik denk dat het eigenlijk meer en meer duidelijk begint te worden dat jij geen jarenlange ervaring hebt op het gebied van informatiebeveiliging. Dat je het niet eens bent met mijn standpunten is natuurlijk jouw goed recht, de manier waarop je ze onderuit probeert te maken en je eigen standpunten probeert te verdedigen is veelzeggend voor jouw opleidingsniveau.
Nee, dat is slechts een van de vereisten.quote:Op dinsdag 23 mei 2017 21:01 schreef pnxsinned het volgende:
[..]
Oh, nu beweren dat je dat niet aangeeft?
Een valid Cert met https connectie is secure, simple as that.
Mijn setup doet dat eveneens, mits goed geimplementeerd.quote:Mijn setup doet dat, en die van jouw niet.
Jij beweerd dat je jarenlang ervaring hebt.quote:Gaan we weer op niveau spelen,
Hip woord, hoor. Voegt gewicht toe aan deze discussie.quote:terwijl ik je al vaker debunked heb,
Mijn oplossing laat het toe om werkende veilige SSL verbindingen op te zetten en apparaten die niet over certificaatbeheer mogelijkheden beschikken, buiten te sluiten. Dus hetgeen dat moet werken functioneerd als beoogd.quote:dat jouw gedoe niet werkt.
Waardan?quote:En heb je ook toegegeven
Dat heb ik nergens voor te stellen. Ik heb voorgesteld om een zelfgecertificeerd certificaat te gebruiken voor prive (intern, dus niet publiek) gebruik al dan niet over het internet of andere netwerken.quote:Als we dan toch op niveau beginnen, dat je al voorstelt om een selfsigned cert te usen voor public op internet, is al beyond retarded
Goed argument weer.quote:Maargoed, dom gelul ben je goed in
Ok dommerik. TS zijn scenario was duidelijk maar lul er maar omheen.quote:Op dinsdag 23 mei 2017 21:08 schreef vaduz het volgende:
[..]
Nee, dat is slechts een van de vereisten.
[..]
Mijn setup doet dat eveneens, mits goed geimplementeerd.
[..]
Jij beweerd dat je jarenlang ervaring hebt.
[..]
Hip woord, hoor. Voegt gewicht toe aan deze discussie.
[..]
Mijn oplossing laat het toe om werkende veilige SSL verbindingen op te zetten en apparaten die niet over certificaatbeheer mogelijkheden beschikken, buiten te sluiten. Dus hetgeen dat moet werken functioneerd als beoogd.
[..]
Waardan?
[..]
Dat heb ik nergens voor te stellen. Ik heb voorgesteld om een zelfgecertificeerd certificaat te gebruiken voor prive (intern, dus niet publiek) gebruik al dan niet over het internet of andere netwerken.
[..]
Goed argument weer.
Nee, ik probeer gewoon een inhoudelijke discussie te voeren, waarbij we de voor- en nadelen van verschillende oplossingen uiteenzetten. Ik heb de voor- en nadelen van mijn oplossing uitgebreid beargumenteerd uiteengezet. Jij lijkt te geloven dat jouw oplossing de enige juiste is en dat iedere andere oplossing onjuist is, echter lukt het je onvoldoende dit te beargumenteren, ontwijk je de niet jou welgezinde vragen en toon je een niveau van kennis aan dat vragen doet oproepen betreffende jouw jarenlange ervaring.quote:Op dinsdag 23 mei 2017 21:09 schreef pnxsinned het volgende:
[..]
Ok dommerik. TS zijn scenario was duidelijk maar lul er maar omheen.
Ik ben gestopt na deze zin: "Nee, ik probeer gewoon een inhoudelijke discussie te voeren, waarbij we de voor- en nadelen van verschillende oplossingen uiteenzetten"quote:Op dinsdag 23 mei 2017 21:16 schreef vaduz het volgende:
[..]
Nee, ik probeer gewoon een inhoudelijke discussie te voeren, waarbij we de voor- en nadelen van verschillende oplossingen uiteenzetten. Ik heb de voor- en nadelen van mijn oplossing uitgebreid beargumenteerd uiteengezet. Jij lijkt te geloven dat jouw oplossing de enige juiste is en dat iedere andere oplossing onjuist is, echter lukt het je onvoldoende dit te beargumenteren, ontwijk je niet jou welgezinde vragen en toon je een niveau van kennis aan dat vragen doet oproepen betreffende jouw jarenlange ervaring.
Er is ook een zoekmachine waar je kunt zoeken naar apparaten van dummies die dit soort spullen kopen maar ze slecht configureren. Kun je lekker bij henk en ria via de online security camera meekijken, alsof je er in de woonkamer bij zit.quote:Op dinsdag 23 mei 2017 17:20 schreef jogy het volgende:
Denk ik alles redelijk goed dicht te hebben gezet op mijn routertje want synology apparaten hebben nogal de neiging om bereikbaar te zijn op je externe netwerkadres via portnummertjes (bijvoorbeeld 5000 ) maar heb ik blijkbaar al een jaar of langer ergens iets ingesteld die ervoor zorgd dat spul binnen mijn huis zonder tussenkomst van mij porten open kan zetten voor het gemak.
upnp heet het. Mocht je het per ongeluk op je router aan hebben gezet zou ik het als de wiedeweerga uitzetten en de lijst leeggooien, ik heb een paar programma's draaien op mijn synology apparaat die zorgde voor een nette afhandeling van media, onder andere sonarr bijvoorbeeld.
Omdat ik een idioot ben had ik er geen wachtwoord opgezet want het was toch extern niet te bereiken, dacht ik. Maar ik zat gisteren een beetje te klootviolen en deed voor de grap mijn externe ip adres in een browser met :8989 erachter, floepte ik zo mijn sonarr in . Daarna :5000 en kreeg ik de pagina van synology, en als laatste :8112 (of zo ) en kreeg ik de inlogpagina van deluge. Nu heb ik alles uit gezet dus is het wel oké maar toch. Derp.
Dat is "by design" ten behoeve van de veiligheid.quote:Op dinsdag 23 mei 2017 21:19 schreef pnxsinned het volgende:
[..]
Ik ben gestopt naar deze zin: "Nee, ik probeer gewoon een inhoudelijke discussie te voeren, waarbij we de voor- en nadelen van verschillende oplossingen uiteenzetten"
1: Jouw oplossing werkt niet voor alle devices/services. Kan je teruglezen in bv. het SmartTV stuk, heb je zelfs toegegeven.
Dat is iets anders dan een zelfgecertificeerd certificaat publiek te gebruiken.quote:2: In jouw oplossing stelde je voor, om een selfsigned cert te usen op het public internet.
Scenario laat ruimte over voor interpertatie. Verder kunnen we deze discussie breder voeren.quote:Scenario was duidelijk,
want? Moet ik mij als een tokkie gaan gedragen?quote:stop met niveau,
Hoe denk jij dat jij op mij overkomt.quote:want je komt me behoorlijk retard over, door er maar omheen te lullen.
Dat is jouw opvatting en hangt geheel af van de doelstelling. Verder weet jij niet eens welke TV de TS heeft.quote:Jouw oplossing werkt NIET in TS zijn geval.
Met een zelfgecertificeerd certificaat, mits juist geimplementeerd, kun je prima een beveiligde verbinding opzetten. Je hebt dit nog steeds niet beargumenteerd onderuit kunnen halen.quote:Laat dat eens duidelijk zijn. Het wordt of unsecure, of maakt geen verbinding.
Hahahaha "by design" werkt de shit niet bij TS, helaas maar de helft van de services, de rest gaat terug naar een insecure verbinding op DSM. <Ik prefereer dat de shit werkt, alles secure >quote:Op dinsdag 23 mei 2017 21:25 schreef vaduz het volgende:
[..]
Dat is "by design" ten behoeve van de veiligheid.
[..]
Dat is iets anders dan een zelfgecertificeerd certificaat publiek te gebruiken.
[..]
Scenario laat ruimte over voor interpertatie. Verder kunnen we deze discussie breder voeren.
[..]
want? Moet ik mij als een tokkie gaan gedragen?
[..]
Hoe denk jij dat jij op mij overkomt.
[..]
Dat is jouw opvatting en hangt geheel af van de doelstelling. Verder weet jij niet eens welke TV de TS heeft.
[..]
Met een zelfgecertificeerd certificaat, mits juist geimplementeerd, kun je prima een beveiligde verbinding opzetten. Je hebt dit nog steeds niet beargumenteerd onderuit kunnen halen.
Ik heb dus aangegeven om dat te blokkeren. Dat jij functionaliteit boven veiligheid vind gaan is veelzeggend, over hetgeen jij onder veiligheid verstaat.quote:Op dinsdag 23 mei 2017 21:28 schreef pnxsinned het volgende:
[..]
Hahahaha "by design" werkt de shit niet bij TS, helaas maar de helft van de services, de rest gaat terug naar een insecure verbinding op DSM.
Knap dat jij weet welke apparaten TS al dan niet heeft. Vraag mij af in welke organisaties jij TV's en geheimzinnige apparaten uitrolt met je jarenlange ervaring.quote:Denken dat SmartTV het enige device is, hoe simpel is die gedachte , dit was een simpel voorbeeld vanuit mijn jarenlange ervaring Kan zo nog 10 devices opnoemen, maar lijkt me dat TS deze niet heeft.
Een fout is ook makkelijk gemaakt, want op zich ben ik niet een totale mongool met dit soort dingen maar dit had ik helemaal over het hoofd gezien. één klein klotevinkje en je hele netwerkomgeving ligt op straat, echt ongelooflijk suf.quote:Op dinsdag 23 mei 2017 21:24 schreef XL het volgende:
[..]
Er is ook een zoekmachine waar je kunt zoeken naar apparaten van dummies die dit soort spullen kopen maar ze slecht configureren. Kun je lekker bij henk en ria via de online security camera meekijken, alsof je er in de woonkamer bij zit.
Dus nu laat je de stelling dat een zelfgecertificeerd certificaat voor privegebruik onveilig is vallen?quote:Op dinsdag 23 mei 2017 21:34 schreef pnxsinned het volgende:
Ik stop, omdat jogy dat wenst
Verhaal is duidelijk, mijn setup werkt voor alles en is secure, de ander krijg je de helft op werkend, maar diverse devices en services niet. Thats all to it.
Nee, ik persoonlijk vind dat nog steeds insecure voor over het internet. Scenario was duidelijk over het internet. Maar hoelang wil je hierover blijven doorgaan? Wellicht dat je het enkel ziet als een mening, en zo denk ik er ook over bij jouw.quote:Op dinsdag 23 mei 2017 21:35 schreef vaduz het volgende:
[..]
Dus nu laat je de stelling dat een zelfgecertificeerd certificaat voor privegebruik onveilig is vallen?
Over het internet valt privegebruik over het internet ook onder. Jij lijkt het concept end-to-end encryption niet te snappen, helaas.quote:Op dinsdag 23 mei 2017 21:37 schreef pnxsinned het volgende:
[..]
Nee, ik persoonlijk vind dat nog steeds insecure voor over het internet. Scenario was duidelijk over het internet.
Liever niet te lang, maar als jij daadwerkelijk je boterham verdiend met informatiebeveiliging dan hoop ik in het belang van je klanten dat je toch echt het een en ander opsteekt van deze discussie en je verder verdiept in bepaalde aspecten.quote:Maar hoelang wil je hierover blijven doorgaan?
Dat jij jouw oplossing beter vind is een mening en opzich valt er best wel wat voor te zeggen. Verder is het natuurlijk jouw goed recht om een mening te hebben. Alleen als ik dan naar jouw onderbouwing kijk, dan wordt mij duidelijk dat jij bepaalde concepten niet geheel begrijpt. Ik haal er zelf geen voldoening uit jou de grond in te boren, maar probeer jou wel te laten inzien dat je het een en ander zult moeten ondernemen, alvorens je het predicaat expert kunt voeren. Want ik geloof dus echt niet dat jij je professioneel bezig houdt met informatiebeveiliging.quote:Wellicht dat je het enkel ziet als een mening, en zo denk ik er ook over bij jouw.
Valid cert > Selfsigned cert over het internet. Simple as that. Elke client/device voorzien met trusted CA, is onmogelijk. Dat het beide end-to-end encryptie is, doet er in dit scenario niet toe. Je oplossing zuigt.quote:Op dinsdag 23 mei 2017 21:45 schreef vaduz het volgende:
[..]
Over het internet valt privegebruik over het internet ook onder. Jij lijkt het concept end-to-end encryption niet te snappen, helaas.
[..]
Liever niet te lang, maar als jij daadwerkelijk je boterham verdiend met informatiebeveiliging dan hoop ik in het belang van je klanten dat je toch echt het een en ander opsteekt van deze discussie en je verder verdiept in bepaalde aspecten.
[..]
Dat jij jouw oplossing beter vind is een mening en opzich valt er best wel wat voor te zeggen. Verder is het natuurlijk jouw goed recht om een mening te hebben. Alleen als ik dan naar jouw onderbouwing kijk, dan wordt mij duidelijk dat jij bepaalde concepten niet geheel begrijpt. Ik haal er zelf geen voldoening uit jou de grond in te boren, maar probeer jou wel te laten inzien dat je het een en ander zult moeten ondernemen, alvorens je het predicaat expert kunt voeren. Want ik geloof dus echt niet dat jij je professioneel bezig houdt met informatiebeveiliging.
Gebruik dan geen certificaatquote:Op dinsdag 23 mei 2017 18:19 schreef pnxsinned het volgende:
[..]
https://security.stackexc(...)orking-over-internet
Wellicht begrijp je het e.e.a dan wat beter..
Ligt dus geheel aan het gebruiksscenario en zal in veelvoorkomende gevallen valide zijn. Echter niet in het geval van privegebruik wat eveneens over het internet kan.quote:Op dinsdag 23 mei 2017 21:49 schreef pnxsinned het volgende:
[..]
Valid cert > Selfsigned cert over het internet. Simple as that.
Dat is in dit geval ook niet de bedoeling.quote:Elke client/device voorzien met trusted CA, is onmogelijk.
Dat doet er alles toe: dat bevestigt namelijk dat de encryptie van een zelfgecertificeerd certificaat gelijk is aan de certificatie van een CA. Het enige verschil is dat zelfgecertificeerde certificaten niet meegeleverd zijn met besturingssystemen en dus handmatig toegevoegd moeten worden, hetgeen ze niet geschikt maakt voor publiekelijk gebruik, maar ze wel geschikt maakt voor prive gebruik en ze in sommige gebruikssituaties zelfs bepaalde voordelen geeft.quote:Dat het beide end-to-end encryptie is, doet er in dit scenario niet toe.
Mag je vinden, aan mijn oplossing zitten voor en nadelenquote:Je oplossing zuigt.
Het gaat er niet om dat alles werkt, dan kun je nog Windows 98 gaan draaien binnen je organisatie. Het gaat er om dat het veilig is. Welk veiligheidsniveau je nastreeft is verder natuurlijk gebruikersafhankelijk en punt van discussie.quote:Ik verdien een zeer goed zakcentje, geloof mij maar En mijn oplossing is enkel al beter in dit scenario omdat dan tenminste alles werkt, wat DSM kan draaien.
Nee, het is je tot dusver niet gelukt om een bewering van mij onderuit te halen, noch heb je een gebrek aan kennis aan mijn zijde kunnen aan tonen. Het enige wat je hebt kunnen aantonen is dat mijn oplossing niet ideaal is wat betreft de inspanningen vereist om deze te implementeren en dat hij mogelijk niet de gewenste functionaliteit geeft in samenhang met bepaalde apparaten. Het laatste is trouwens in jouw oplossing niet eeuwig gewaarborgd.quote:Heb je voldoende onderbouwing gegeven, tot een punt dat je "dingen moet nalopen". Puur omdat je niet weet waar je het over hebt.
Nee, ik houdt er gewoon niet over dat mensen zich beter proberen voor te doen dan ze zijn. Als je nou gewoon eerlijk had toegegeven dat dit niet jouw werkgebied was, dan had ik je complimenten gegeven voor de kennis die je had. Ik bedoel die is een stuk hoger als de gemiddelde gebruiker, maar niet op academisch niveau.quote:Maar het feit dat je weer over niveau begint, het zit je diep he
Het valt tegen als iemand niet wil inzien dat (een deel van) zijn argumenten niet valide zijn in een bepaald gebruikersscenario.quote:Valt altijd tegen als iemand je met feiten aangeeft, dat x of y oplossing in dit geval niet ok is,
Jammer dat je oplossing niet werkt "by design".quote:Op dinsdag 23 mei 2017 22:03 schreef vaduz het volgende:
[..]
Ligt dus geheel aan het gebruiksscenario en zal in veelvoorkomende gevallen valide zijn. Echter niet in het geval van privegebruik wat eveneens over het internet kan.
[..]
Dat is in dit geval ook niet de bedoeling.
[..]
Dat doet er alles toe: dat bevestigt namelijk dat de encryptie van een zelfgecertificeerd certificaat gelijk is aan de certificatie van een CA. Het enige verschil is dat zelfgecertificeerde certificaten niet meegeleverd zijn met besturingssystemen en dus handmatig toegevoegd moeten worden, hetgeen ze niet geschikt maakt voor publiekelijk gebruik, maar ze wel geschikt maakt voor prive gebruik en ze in sommige gebruikssituaties zelfs bepaalde voordelen geeft.
[..]
Mag je vinden, aan mijn oplossing zitten voor en nadelen
[..]
Het gaat er niet om dat alles werkt, dan kun je nog Windows 98 gaan draaien binnen je organisatie. Het gaat er om dat het veilig is. Welk veiligheidsniveau je nastreeft is verder natuurlijk gebruikersafhankelijk en punt van discussie.
[..]
Nee, het is je tot dusver niet gelukt om een bewering van mij onderuit te halen, noch heb je een gebrek aan kennis aan mijn zijde kunnen aan tonen. Het enige wat je hebt kunnen aantonen is dat mijn oplossing niet ideaal is wat betreft de inspanningen vereist om deze te implementeren en dat hij mogelijk niet de gewenste functionaliteit geeft in samenhang met bepaalde apparaten. Het laatste is trouwens in jouw oplossing niet eeuwig gewaarborgd.
[..]
Nee, ik houdt er gewoon niet over dat mensen zich beter proberen voor te doen dan ze zijn. Als je nou gewoon eerlijk had toegegeven dat dit niet jouw werkgebied was, dan had ik je complimenten gegeven voor de kennis die je had. Ik bedoel die is een stuk hoger als de gemiddelde gebruiker, maar niet op academisch niveau.
[..]
Het valt tegen als iemand niet wil inzien dat (een deel van) zijn argumenten niet valide zijn in een bepaald gebruikersscenario.
Nee, je hebt het globaal gezien goed. Al krijg je dus wel je groene hangslot als je in het certificatenbeheer van je besturingssysteem je certificaat toevoegd.quote:Op dinsdag 23 mei 2017 22:03 schreef jogy het volgende:
De toegang tot mijn synology beperkt zich tot mijzelf. En dan ook nog eens mijn thuis en werk pc en mijn smartphone. In principe kan ik dus met het importeren en activeren van een persoonlijk certificaat op 2 of 3 plekken klaar zijn en binnen mijn eigen netwerk zonder certificaat over http gaan want boeiend. Nu begrijp ik dat ik nu eventueel met wat gepriegel mijn synology kan laten streamen naar elk apparaat buiten mijn lan waar ik wil maar dan heb ik een erkend certificaat nodig van bv letsencrypt. Zit ik zo nog een beetje goed? Maar waar zit letsencrypt fysiek? In de VS? Zo ja dan kan de overheid van de VS waarschijnlijk de informatie van het certificaat opeisen en mag letsencrypt er niets over zeggen, klopt dat ook? Als ik het in eigen handen houd en dus een achterlijk sterk certificaat aanmaak en gebruik kan geen enkele officiële instantie ergens anders aankloppen voor die informatie want ik ben enige die het heeft. Toch? Dus het is schipperen tussen veilig gemak en 'superveilig' maar minder gemak en geen groen hangslot maar wel volledige controle. Heb ik iets over het hoofd gezien?
Mijn oplossing werkt dus wel, mits goed geimplementeerd. Je antwoord is weer veelzeggend.quote:Op dinsdag 23 mei 2017 22:04 schreef pnxsinned het volgende:
[..]
Jammer dat je oplossing niet werkt "by design".
Doei.
Als je de DSM apps gaat gebruiken, en wilt die secure hebben, lijkt me dit lastig. Omdat je je cert / CA store niet kan importen in die app. Die wilt enkel valid certs hebben as far I know, of gaat terugvallen op een insecure verbinding. (Dit probeer ik al heel de tijd duidelijk te maken btw, maar sommige mensen snappen het niet )quote:Op dinsdag 23 mei 2017 22:03 schreef jogy het volgende:
De toegang tot mijn synology beperkt zich tot mijzelf. En dan ook nog eens mijn thuis en werk pc en mijn smartphone. In principe kan ik dus met het importeren en activeren van een persoonlijk certificaat op 2 of 3 plekken klaar zijn en binnen mijn eigen netwerk zonder certificaat over http gaan want boeiend. Nu begrijp ik dat ik nu eventueel met wat gepriegel mijn synology kan laten streamen naar elk apparaat buiten mijn lan waar ik wil maar dan heb ik een erkend certificaat nodig van bv letsencrypt. Zit ik zo nog een beetje goed? Maar waar zit letsencrypt fysiek? In de VS? Zo ja dan kan de overheid van de VS waarschijnlijk de informatie van het certificaat opeisen en mag letsencrypt er niets over zeggen, klopt dat ook? Als ik het in eigen handen houd en dus een achterlijk sterk certificaat aanmaak en gebruik kan geen enkele officiële instantie ergens anders aankloppen voor die informatie want ik ben enige die het heeft. Toch? Dus het is schipperen tussen veilig gemak en 'superveilig' maar minder gemak en geen groen hangslot maar wel volledige controle. Heb ik iets over het hoofd gezien?
Nog leuker. Ik dacht dat ik dan alleen geen schreeuw waarschuwingen meer zou krijgen.quote:Op dinsdag 23 mei 2017 22:06 schreef vaduz het volgende:
[..]
Nee, je hebt het globaal gezien goed. Al krijg je dus wel je groene hangslot als je in het certificatenbeheer van je besturingssysteem je certificaat toevoegd.
Schijnveiligheid. Niet omdat die certificaten per definitie onveilig zijn, maar omdat een deel van degene die ze implementeren incompetente beunhazen zijn.quote:Op dinsdag 23 mei 2017 22:10 schreef pnxsinned het volgende:
Oh, LetsEncrypt blijft gratis, loopt op donaties, en wordt o.a. backed door Google en Facebook
Men wilt het internet veiliger hebben, vandaar dit project.
Eens dat implementatie van een Cert in 80% van de gevallen gewoon een bad ranking heeft op bv:quote:Op dinsdag 23 mei 2017 22:12 schreef vaduz het volgende:
[..]
Schijnveiligheid. Niet omdat die certificaten per definitie onveilig zijn, maar omdat een deel van degene die ze implementeren incompetente beunhazen zijn.
Ik ben nu wel benieuwd want ik kan in android wel certificaten importeren dus zou het oké moeten zijn. Maar alles in de VS valt onder de Patriot act en die geeft de overheid belachelijk veel autoriteit over bedrijven. Ik ben geen terrorist of grootse hacker ( maar dat was wel duidelijk ) dus ik ben er niet bang voor maar mocht ik ooit zwaar illegale shit of extreem gevoelige en belangrijke zaken gaan doen zal ik het certificaat niet door een derde partij laten doen denk ik.quote:Op dinsdag 23 mei 2017 22:08 schreef pnxsinned het volgende:
[..]
Als je de DSM apps gaat gebruiken, en wilt die secure hebben, lijkt me dit lastig. Omdat je je cert / CA store niet kan importen in die app. Die wilt enkel valid certs hebben as far I know, of gaat terugvallen op een insecure verbinding. (Dit probeer ik al heel de tijd duidelijk te maken btw, maar sommige mensen snappen het niet )
Het hebben van een Certificate Authority mag niet zomaar en zitten zeer veel regels aan vast.
As far I know, wordt het geregeld door ISRG, ligt in californie.
Ik weet idd dat je certs kan importen in Android CA store weet ik even niet, en die heb je ook nodig, maar geloof dat de DSM apps daar niets van aantrekken.quote:Op dinsdag 23 mei 2017 22:16 schreef jogy het volgende:
[..]
Ik ben nu wel benieuwd want ik kan in android wel certificaten importeren dus zou het oké moeten zijn. Maar alles in de VS valt onder de Patriot act en die geeft de overheid belachelijk veel autoriteit over bedrijven. Ik ben geen terrorist of grootse hacker ( maar dat was wel duidelijk ) dus ik ben er niet bang voor maar mocht ik ooit zwaar illegale shit of extreem gevoelige en belangrijke zaken gaan doen zal ik het certificaat niet door een derde partij laten doen denk ik.
Voor persoonlijke beveiliging van mijn gegevens en tegen brein achtige instanties ben ik nu goed genoeg afgeschermd.
Precies, met de methode van pnxsinned ben je natuurlijk al veel beter beschermd dan de meeste mensen. Zelf probeer ik altijd voor een maximaal resultaat te gaan en niet blindelings de meest gebruikte oplossing te nemen. Al kan ik natuurlijk ook geen 100% garanties bieden, je blijft immers afhankelijk van andermans technologieen.quote:Op dinsdag 23 mei 2017 22:16 schreef jogy het volgende:
[..]
Ik ben nu wel benieuwd want ik kan in android wel certificaten importeren dus zou het oké moeten zijn. Maar alles in de VS valt onder de Patriot act en die geeft de overheid belachelijk veel autoriteit over bedrijven. Ik ben geen terrorist of grootse hacker ( maar dat was wel duidelijk ) dus ik ben er niet bang voor maar mocht ik ooit zwaar illegale shit of extreem gevoelige en belangrijke zaken gaan doen zal ik het certificaat niet door een derde partij laten doen denk ik.
Voor persoonlijke beveiliging van mijn gegevens en tegen brein achtige instanties ben ik nu goed genoeg afgeschermd.
Het fijne weet ik er ook nog niet van. Ik heb een collega gehad die er heel ver in ging en volgens mij een website heeft gebouwd op een server met openbsd en een certificaat die de helft van de apparaten nog niet eens kan lezen zo sterk was die en die was dus wel zo ver dat hij de CA's niet vertrouwde. Dus het punt van vaduz is mij niet vreemd. Maar ondertussen werk ik bij een IT bedrijf die overal die CA certificaten voor gebruikt dus onveilig zal het niet zijn nee.quote:Op dinsdag 23 mei 2017 22:18 schreef pnxsinned het volgende:
[..]
Ik weet idd dat je certs kan importen in Android CA store weet ik even niet, en die heb je ook nodig, maar geloof dat de DSM apps daar niets van aantrekken.
LetsEncrypt kan niet zomaar inloggen oid bij je he? Stel er lekt ooit een key, kan dat heel concept opgedoekt worden... Zal dan net jouw key moeten zijn, en er zal een fakesite / middle in the man moeten gebeuren... no way Maargoed, het is hoever je erin wilt gaan
https://wplift.com/free-ssl-certificate-lets-encrypt-safe
Dat is natuurlijk zo. En verder geef ik wel gewoon toe dat de data van de meeste gebruikers helemaal niet zo interessant is. De meeste hackpogingen zijn grootschalig en maken misbruik van bekende veiligheidslekken. Het verdienmodel achter deze pogingen schuilt grofweg in een van de volgende mogelijkheden:quote:Op dinsdag 23 mei 2017 22:36 schreef jogy het volgende:
Of in het kort: het vertrouwen moet ergens beginnen. (Ergens in DIG gelezen en dat vat het wel goed samen)
Synology is wel linux based. De dd-wrt router volgens mij ook wel een beetje. Dit keer heeft Windows in ieder geval niets verneukt. .quote:
Dit is in ieder geval mijn doel ja. Zolang ik maar niet het laagst hangende stukje fruit ben vind ik het al gesneden.quote:Op dinsdag 23 mei 2017 23:01 schreef vaduz het volgende:
Al kan het nooit kwaad om beter beveiligd te zijn dan de buurman.
Ben het eens dat je fout een kleine is, die velen zullen maken. Is inherent aan het probleem van het internet, iedereen kan het gebruiken, maar slechts enkelen begrijpen het. Daarmee bedoel ik niet dat jij het niet begrijpt, jij kunt iets oplossen waar de meerderheid niet over na kan denkenquote:Op dinsdag 23 mei 2017 21:34 schreef jogy het volgende:
[..]
Een fout is ook makkelijk gemaakt, want op zich ben ik niet een totale mongool met dit soort dingen maar dit had ik helemaal over het hoofd gezien. één klein klotevinkje en je hele netwerkomgeving ligt op straat, echt ongelooflijk suf.
Neh, als iemand mijn externe IP zou hebben had hij op zijn meest gezien wat er op mijn sonarr stond, een index en had die persoon die sonarr kunnen verneuken met een zooi wijvenseries of zo. Mijn DSM, ondanks dat het over het internet bereikbaar was is verder wel redelijk beveiligd. 'admin' was in ieder geval al uitgeschakeld en het wachtwoord was niet te voorspelbaar.quote:Op dinsdag 23 mei 2017 23:34 schreef Piger het volgende:
Danny heeft je externe ip al lang en dus ook al jouw prive-foto's. Enige reden dat Jogy.rar niet online staat is omdat er geen lekker wijf mee op de foto's staat.
Ik voelde me ook niet echt aangesproken en mijn fout was ook echt een domme, hoofdzakelijk omdat ik nooit echt heb gekeken naar wat 'upnp' nou eigenlijk deed. Ik schrok me de tyfus . Maar ja, leef en leer.quote:Op dinsdag 23 mei 2017 23:27 schreef XL het volgende:
[..]
Ben het eens dat je fout een kleine is, die velen zullen maken. Is inherent aan het probleem van het internet, iedereen kan het gebruiken, maar slechts enkelen begrijpen het. Daarmee bedoel ik niet dat jij het niet begrijpt, jij kunt iets oplossen waar de meerderheid niet over na kan denken
haha jij hebt dit topic stiekem uitgeprint om aan je maten van de plaatselijke nerdclub te laten zien.quote:Op woensdag 24 mei 2017 10:09 schreef MCH het volgende:
Klinkt als een maagden/wolvenshirt/vetteharenmensentopique dus niet gelezen.
Ben toch werkeloos, heb ik je laatst ook al uitgelegdquote:Op woensdag 24 mei 2017 16:39 schreef vaduz het volgende:
[..]
haha jij hebt dit topic stiekem uitgeprint om aan je maten van de plaatselijke nerdclub te laten zien.
Verkeerde configuratie dus.quote:Op dinsdag 23 mei 2017 23:21 schreef jogy het volgende:
[..]
Synology is wel linux based. De dd-wrt router volgens mij ook wel een beetje. Dit keer heeft Windows in ieder geval niets verneukt. .
Jup. Ik kan niemand anders dan mezelf de schuld geven van deze flater.quote:Op woensdag 24 mei 2017 21:43 schreef Blue_Panther_Ninja het volgende:
[..]
Verkeerde configuratie dus.
oh gutje toch.quote:Op donderdag 25 mei 2017 02:21 schreef jogy het volgende:
[..]
Jup. Ik kan niemand anders dan mezelf de schuld geven van deze flater.
Volgens mij begrijpen we elkaar niet helemaal. Gewoon Synology in combinatie met upnp op mijn router die ervoor zorgde dat alles extern te bereiken was.quote:Op donderdag 25 mei 2017 14:14 schreef Blue_Panther_Ninja het volgende:
[..]
oh gutje toch.
Welke Linux distro?
aha,my badquote:Op donderdag 25 mei 2017 14:25 schreef jogy het volgende:
[..]
Volgens mij begrijpen we elkaar niet helemaal. Gewoon Synology in combinatie met upnp op mijn router die ervoor zorgde dat alles extern te bereiken was.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |