KLB Klaagbaak
Klaag maar raak voor een knaak.
1: https://www.globalsign.co(...)-lived-certificates/quote:Op dinsdag 23 mei 2017 19:35 schreef vaduz het volgende:
[..]
Je bedoelt dat je het zelf niet kan uitleggen, ondanks dat het super logisch is?
[..]
Nee, jij denkt blijkbaar dat het stukje webserver wat de configuratiepagina's serveert verantwoordelijk is voor de aansturing van de hele NAS.
[..]
Nee, zelfs dit kun jij niet uitleggen.
2: Webserver handelt het LetsEncypt stuk iig af, en daar ging het om. Verder is het een vereiste voor DSM.
3: Je bent behoorlijk dom
Ik heb het zelf zo draaien, alles secure al paar jaar. Zonder onderhoud en gedoe op clients. Zelfs mijn streaming werkt secure!
[ Bericht 9% gewijzigd door #ANONIEM op 23-05-2017 19:38:44 ]
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.quote:
[..]
Whahahah, 1e 2 punten kerel, mening, #care.
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?quote:Maar dat laatste stuk, ik heb het hier toch zo werkend. Als ik mijn cert vervang door een selfsigned crap iets, werkt mijn TV streaming INSECURE.
Kon jij het maar super helder uitleggen. Had graag iets geleerd.quote:En nu niet. Je snapt het gewoon niet, terwijl ik het super helder uitleg.
Ik zal het client stuk van de TV uitleggen, zo helder mogelijk:quote:
[..]
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.
[..]
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?
[..]
Kon jij het maar super helder uitleggen. Had graag iets geleerd.
Mijn SmartTV connect indien de Cert valid is, en CA ook valid is, via SSL.
Als dat er niet is, valt hij terug op poort 80.
M.a.w: Mijn config is dan de juiste.
Hoe helder wil je het hebben?
Wacht ik vul het even aan: Een selfsigned Cert, van een random CA, is GEEN valid iets, voor dergelijke devices, dus maken ze GEEN verbinding ermee. Browsers geven dan die lelijke warnings, waarin je exceptions kunt adden, dit kan dus niet met een SmartTV. Die valt gewoon terug naar 80, en als 80 niet draait, connect hij _niet_.
Ik hoop dat het helder genoeg is voor je, zo zijn er heel veel devices, en komen er steeds meer. Iot?
Rustig aan verder, kga genieten van et avondje
[ Bericht 22% gewijzigd door #ANONIEM op 23-05-2017 19:41:57 ]
Lief zijn! 
.
Ik ben in ieder geval een stukje verder. als ik naar https://synner.[domein]:5001 ga dan kom ik op mijn gecertificeerde (letsencrypt, sorry vaduz
) pagina uit waar ik ook nog een 2 way authentication op heb gesodemieterd. Nu ook in mijn router ingesteld dat die naar mijn lokale ip ga wanneer ik die url in tik, dat geld meteen voor al mijn apparaten dus dat is wel fijn.
Nu nog mijn https:// port veranderen in iets obscuurs.
.
En de self-signed tegenover niet self-signed discussie is wel interessant an sich. Als je het overlaat aan een ander instituut geef je potentieel de 'sleutels' weg aan een 'vreemde' maar het is wel meteen geregeld voor alles overal. Self signed heeft het voordeel dat je het vertrouwen niet uit handen geeft maar je zal altijd gezeik houden met browsers en andere zaken. Afwegingen, lastig.
. Ik ben in ieder geval een stukje verder. als ik naar https://synner.[domein]:5001 ga dan kom ik op mijn gecertificeerde (letsencrypt, sorry vaduz
) pagina uit waar ik ook nog een 2 way authentication op heb gesodemieterd. Nu ook in mijn router ingesteld dat die naar mijn lokale ip ga wanneer ik die url in tik, dat geld meteen voor al mijn apparaten dus dat is wel fijn. Nu nog mijn https:// port veranderen in iets obscuurs.
. En de self-signed tegenover niet self-signed discussie is wel interessant an sich. Als je het overlaat aan een ander instituut geef je potentieel de 'sleutels' weg aan een 'vreemde' maar het is wel meteen geregeld voor alles overal. Self signed heeft het voordeel dat je het vertrouwen niet uit handen geeft maar je zal altijd gezeik houden met browsers en andere zaken. Afwegingen, lastig.
Iedereen is de hoofdrolspeler van zijn eigen comedie.
'Goatboy is hurt by your indifference'
<a href="https://www.youtube.com/watch?v=M9srplWe_QQ" target="_blank" rel="nofollow">Vrijheid</a>
[b]Dean Radin presenteert: "Science and the taboo of psi"[/b]
'Goatboy is hurt by your indifference'
<a href="https://www.youtube.com/watch?v=M9srplWe_QQ" target="_blank" rel="nofollow">Vrijheid</a>
[b]Dean Radin presenteert: "Science and the taboo of psi"[/b]
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.quote:
[..]
1: https://www.globalsign.co(...)-lived-certificates/
En daar zijn dus extra instructies voor nodig.quote:2: Webserver handelt het LetsEncypt stuk iig af, en daar ging het om. Verder is het een vereiste voor DSM.
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.quote:3: Je bent behoorlijk dom
En wie heeft daar een audit van gedaan?quote:Ik heb het zelf zo draaien, alles secure al paar jaar. Zonder onderhoud en gedoe op clients. Zelfs mijn streaming werkt secure!
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.quote:
[..]
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.
[..]
En daar zijn dus extra instructies voor nodig.
[..]
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.
[..]
En wie heeft daar een audit van gedaan?
2: Ik werk zelf al jaren in security e.d, ik audit het zelf.
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.quote:
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.quote:
[..]
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.quote:2: Ik werk zelf al jaren in security e.d,
Lijkt me heel verstandig.quote:ik audit het zelf.
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.quote:
[..]
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.
Met het SmartTV stuk, klopt het gewoon wat ik zeg, en wat jij zegt is daar onjuist.
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha. Newsflash, meeste degelijke hosters werken met dergelijke systemen.quote:
[..]
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.
[..]
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.
[..]
Lijkt me heel verstandig.
2: Denk een stuk meer dan jouw helaas.
3: Ik heb diverse externe pentests gedaan, en kom er heel goed mee weg. Maar het testen was overbodig, want ik weet wat ik doe.
Nu.. was de uitleg helder wat ik je gegeven had over het SmartTV stuk als voorbeeld?
[ Bericht 0% gewijzigd door #ANONIEM op 23-05-2017 19:50:26 ]
Die port, wanneer je die hebt ingesteld, wat je dan zou kunnen doen, is onder Reverse Proxy in DSM, een hostnaam aan je DSM service hangen, en daaraan dan je cert. Aan de inside kant, laat je hem dan connecten naar localhost:<jeport>.quote:Op dinsdag 23 mei 2017 19:42 schreef jogy het volgende:
Lief zijn!
Ik ben in ieder geval een stukje verder. als ik naar https://synner.[domein]:5001 ga dan kom ik op mijn gecertificeerde (letsencrypt, sorry vaduz
Nu nog mijn https:// port veranderen in iets obscuurs.
En de self-signed tegenover niet self-signed discussie is wel interessant an sich. Als je het overlaat aan een ander instituut geef je potentieel de 'sleutels' weg aan een 'vreemde' maar het is wel meteen geregeld voor alles overal. Self signed heeft het voordeel dat je het vertrouwen niet uit handen geeft maar je zal altijd gezeik houden met browsers en andere zaken. Afwegingen, lastig.
Dan zou je enkel nog domain name hoeven in te vullen, of bv: nas.jogy.nl om naar je DSM te komen
Oké, ik ben toch nog wel een beetje een derp. Net zat ik mijn portjes weer te testen en kreeg ik weer reactie van al die shit die op mijn nas stond dus weer half in paniek tot ik me realiseerde dat het door die DNS entry in mijn router kwam. Naja.
Iedereen is de hoofdrolspeler van zijn eigen comedie.
'Goatboy is hurt by your indifference'
<a href="https://www.youtube.com/watch?v=M9srplWe_QQ" target="_blank" rel="nofollow">Vrijheid</a>
[b]Dean Radin presenteert: "Science and the taboo of psi"[/b]
'Goatboy is hurt by your indifference'
<a href="https://www.youtube.com/watch?v=M9srplWe_QQ" target="_blank" rel="nofollow">Vrijheid</a>
[b]Dean Radin presenteert: "Science and the taboo of psi"[/b]
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.quote:
[..]
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.
Met het SmartTV stuk, klopt het gewoon wat ik zeg, en wat jij zegt is daar onjuist.
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.quote:[..]
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha.
Dus dat maakt het veilig?quote:Newsflash, meeste degelijke hosters werken met dergelijke systemen.
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.quote:2: Denk een stuk meer dan jouw helaas.
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.quote:3: Ik heb diverse externe pentests gedaan, en kom er heel goed mee weg. Maar het testen was overbodig, want ik weet wat ik doe.
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.quote:Nu.. was de uitleg helder wat ik je gegeven had over het SmartTV stuk als voorbeeld?
Blabla hoor ik nu enkel nogquote:
[..]
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.
[..]
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.
[..]
Dus dat maakt het veilig?
[..]
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.
[..]
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.
[..]
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.
Het is 100x veiliger en beter dan jouw gepruts.
Ik ben ook gestopt met lezen met NAS externe verbinding doet leggen <insert more blabla>.
Moet je je OS eens zelf kijken, als die checked voor updates? Maar niet meer doen? Had je al gelezen dat het ook secure gebeurd btw?
Hierna nog meer blabla, ik link je wat bronnen, zodat je je kunt inlezen, en doet maar een aanname op basis daarvan.
Fijn dat mijn uitleg helder was, en het met jouw gepruts, gewoon niet zal werken icm. een SmartTV. ook al vang je die shit af dat het secure MOET op die server, zal dat in jouw setup niet gaan. Omdat het niet valid is.
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?quote:
quote:Het is 100x veiliger en beter dan jouw gepruts.
Ik ben ook gestopt met lezen met NAS externe verbinding doet leggen <insert more blabla>.
Moet je je OS eens zelf kijken, als die checked voor updates? Maar niet meer doen? Had je al gelezen dat het ook secure gebeurd btw?
Hierna nog meer blabla, ik link je wat bronnen, zodat je je kunt inlezen, en doet maar een aanname op basis daarvan.
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?quote:Fijn dat mijn uitleg helder was, en het met jouw gepruts, gewoon niet zal werken icm. een SmartTV. ook al vang je die shit af dat het secure MOET op die server, zal dat in jouw setup niet gaan. Omdat het niet valid is.
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.quote:
[..]
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?
[..]
[..]
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?
Ik wil dat het juist wel werkt voor TS en _secure_ is, en derhalve is mijn setup in dit geval de enige juiste, en die van jouw onjuist. Het is bij jouw, of het werkt niet, of het is unsecure. Lachwekkend
Je geeft dus geen wederhoor?quote:
[..]
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.
Nogal voorbarig.quote:Ik wil dat het juist wel werkt voor TS en _secure_ is, en derhalve is mijn setup in dit geval de enige juiste,
Want?quote:en die van jouw onjuist.
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.quote:Het is bij jouw, of het werkt niet, of het is unsecure. Lachwekkend
Nee, bij jouw werkt het niet nogmaals. Moet ik je het SmartTV stuk nog eens uitleggen?quote:
[..]
Je geeft dus geen wederhoor?
[..]
Nogal voorbarig.
[..]
Want?
[..]
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.
Enkel al daarom, is jouw setup onjuist. Dat is namelijk niet werkend te krijgen, met selfsigned certs.Meer helder kan ik het je niet uitleggen, een fijne avond verder!
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.quote:
[..]
Nee, bij jouw werkt het niet nogmaals.
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?quote:Moet ik je het SmartTV stuk nog eens uitleggen?
quote:Enkel al daarom, is jouw setup onjuist.
Maar er zijn dus volgens jou nog meer argumenten?Dus? Moet je het veiligheidsniveau maar verlagen?quote:Dat is namelijk niet werkend te krijgen, met selfsigned certs.
Dat zegt dan wel het een en ander over jouw competenties.quote:Meer helder kan ik het je niet uitleggen,
TS wilt iets werkends.quote:
[..]
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.
[..]
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?
[..]
[..]
Dus? Moet je het veiligheidsniveau maar verlagen?
[..]
Dat zegt dan wel het een en ander over jouw competenties.
Van jouw werkt niet.1 + 1 = 2.
Veel succes met je eigen competenties.
[ Bericht 2% gewijzigd door #ANONIEM op 23-05-2017 20:23:11 ]
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.quote:
[..]
TS wilt iets werkends.
1 + 1 = 2.
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.quote:Veel succes met je eigen competenties.
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouwquote:
[..]
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.
[..]
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.quote:
[..]
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouw
Kan je niet lezen of wat is je probleem?quote:
[..]
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.
Op jouw manier kunnen diverse devices en services geen connectie maken. Daar heeft niemand iets aan.
Op mijn manier, alles secure, zonder gezeik
Op jouw manier is sowiso unsecure, want DSM, kan je niet forcen op enkel SSL, laat staan dat je dat met alle services daarop kunt doen. Dus wat gaat hij doen met jouw setup? Idd, de unsecure weg pakken.
[ Bericht 0% gewijzigd door #ANONIEM op 23-05-2017 20:35:51 ]
Dat is een vraag die ik eveneens aan jou kan stellen.quote:
[..]
Kan je niet lezen of wat is je probleem?
Als veiligheid een prioriteit is, dan wel.quote:Op jouw manier kunnen diverse devices en services geen connectie maken. Daar heeft niemand iets aan.
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.quote:Op mijn manier, alles secure, zonder gezeik
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.quote:Op jouw manier is sowiso unsecure, want DSM, kan je niet forcen op enkel SSL,
Dus jij wilt nu beweren dat een Valid cert van een valid CA onveilig is? Alle websites die https hebben zijn niet secure? Wat bazel je nu man, de setup die ik benoem is namelijk juist dat.quote:
[..]
Dat is een vraag die ik eveneens aan jou kan stellen.
[..]
Als veiligheid een prioriteit is, dan wel.
[..]
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.
[..]
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.
Als ik jouw was, zou ik veel meer dingen gaan nalopen, de onzin wordt steeds groter wat je hier roept, puurt om andere onzin van jezelf te verdedigen.
|
|
