1: https://www.globalsign.co(...)-lived-certificates/quote:Op dinsdag 23 mei 2017 19:35 schreef vaduz het volgende:
[..]
Je bedoelt dat je het zelf niet kan uitleggen, ondanks dat het super logisch is?
[..]
Nee, jij denkt blijkbaar dat het stukje webserver wat de configuratiepagina's serveert verantwoordelijk is voor de aansturing van de hele NAS.
[..]
Nee, zelfs dit kun jij niet uitleggen.
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.quote:Op dinsdag 23 mei 2017 19:36 schreef pnxsinned het volgende:
[..]
Whahahah, 1e 2 punten kerel, mening, #care.
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?quote:Maar dat laatste stuk, ik heb het hier toch zo werkend. Als ik mijn cert vervang door een selfsigned crap iets, werkt mijn TV streaming INSECURE.
Kon jij het maar super helder uitleggen. Had graag iets geleerd.quote:En nu niet. Je snapt het gewoon niet, terwijl ik het super helder uitleg.
Ik zal het client stuk van de TV uitleggen, zo helder mogelijk:quote:Op dinsdag 23 mei 2017 19:38 schreef vaduz het volgende:
[..]
Nee, het eerste is een vraag (die jij blijkbaar niet kunt beantwoorden) en geen mening. En je reactie geeft mijn 2e punt enkel bijval.
[..]
Omdat jij iets dus niet geconfigureerd krijgt, is het de waarheid?
[..]
Kon jij het maar super helder uitleggen. Had graag iets geleerd.
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.quote:Op dinsdag 23 mei 2017 19:37 schreef pnxsinned het volgende:
[..]
1: https://www.globalsign.co(...)-lived-certificates/
En daar zijn dus extra instructies voor nodig.quote:2: Webserver handelt het LetsEncypt stuk iig af, en daar ging het om. Verder is het een vereiste voor DSM.
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.quote:3: Je bent behoorlijk dom
En wie heeft daar een audit van gedaan?quote:Ik heb het zelf zo draaien, alles secure al paar jaar. Zonder onderhoud en gedoe op clients. Zelfs mijn streaming werkt secure!
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.quote:Op dinsdag 23 mei 2017 19:42 schreef vaduz het volgende:
[..]
De mening van een verkoper van certificaten. Tuurlijk kunnen er bepaalde voordelen zijn, net zoals er bepaalde nadelen zijn. Die moet je dan netjes tegen elkaar afwegen.
[..]
En daar zijn dus extra instructies voor nodig.
[..]
Nog zo een kwalitatief argument, gaat je echt helpen in deze discussie.
[..]
En wie heeft daar een audit van gedaan?
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.quote:
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.quote:Op dinsdag 23 mei 2017 19:43 schreef pnxsinned het volgende:
[..]
1: 1x in 3 maanden, idd wat instructies naar letsencrypt. Woohoo. Mening of geen mening, staan wel feiten in btw.
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.quote:2: Ik werk zelf al jaren in security e.d,
Lijkt me heel verstandig.quote:ik audit het zelf.
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.quote:Op dinsdag 23 mei 2017 19:44 schreef vaduz het volgende:
[..]
Jouw keuze. Volgens mij heb jij er wat meer kennis van dan die gebruiker die probeert aan te tonen dat ik een ongeloofelijke beunhaas ben.
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha. Newsflash, meeste degelijke hosters werken met dergelijke systemen.quote:Op dinsdag 23 mei 2017 19:47 schreef vaduz het volgende:
[..]
Nee, met instructies bedoel ik uiteraard die programmacode die uitgevoerd of geinterpetreerd wordt en dus mogelijk ook buiten die 1 keer in de 3 maanden geinterpeteerd of uitgevoerd kan worden.
[..]
Vraag me dan toch echt af waar jij je kwalificaties hebt gehaald en welke dat dan zijn.
[..]
Lijkt me heel verstandig.
Die port, wanneer je die hebt ingesteld, wat je dan zou kunnen doen, is onder Reverse Proxy in DSM, een hostnaam aan je DSM service hangen, en daaraan dan je cert. Aan de inside kant, laat je hem dan connecten naar localhost:<jeport>.quote:Op dinsdag 23 mei 2017 19:42 schreef jogy het volgende:
Lief zijn! .
Ik ben in ieder geval een stukje verder. als ik naar https://synner.[domein]:5001 ga dan kom ik op mijn gecertificeerde (letsencrypt, sorry vaduz ) pagina uit waar ik ook nog een 2 way authentication op heb gesodemieterd. Nu ook in mijn router ingesteld dat die naar mijn lokale ip ga wanneer ik die url in tik, dat geld meteen voor al mijn apparaten dus dat is wel fijn.
Nu nog mijn https:// port veranderen in iets obscuurs. .
En de self-signed tegenover niet self-signed discussie is wel interessant an sich. Als je het overlaat aan een ander instituut geef je potentieel de 'sleutels' weg aan een 'vreemde' maar het is wel meteen geregeld voor alles overal. Self signed heeft het voordeel dat je het vertrouwen niet uit handen geeft maar je zal altijd gezeik houden met browsers en andere zaken. Afwegingen, lastig.
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.quote:Op dinsdag 23 mei 2017 19:50 schreef pnxsinned het volgende:
[..]
Dat is het laatste wat ik wil aantonen, maar mbt je opmerking dat de devices maar weg moeten die geen CA kunnen importen, kom op.
Met het SmartTV stuk, klopt het gewoon wat ik zeg, en wat jij zegt is daar onjuist.
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.quote:[..]
1: Waar heb je het over, het is een query (Wat overigens ook HTTPS is). Overdrijven is een kunst, haha.
Dus dat maakt het veilig?quote:Newsflash, meeste degelijke hosters werken met dergelijke systemen.
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.quote:2: Denk een stuk meer dan jouw helaas.
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.quote:3: Ik heb diverse externe pentests gedaan, en kom er heel goed mee weg. Maar het testen was overbodig, want ik weet wat ik doe.
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.quote:Nu.. was de uitleg helder wat ik je gegeven had over het SmartTV stuk als voorbeeld?
Blabla hoor ik nu enkel nogquote:Op dinsdag 23 mei 2017 19:57 schreef vaduz het volgende:
[..]
Nee, ik stel daar dus voor om aan de server zijde geen onversleutelde verbindingen toe te staan. Snap dan niet wat daar onjuist aan is.
[..]
Ik zet mogelijke voor- en nadelen uiteen, hoe groot of klein deze ook zijn. Feit blijft dat jij de NAS toestaat om zelf een externe verbinding te leggen, welke onderschept kan worden en via programmatuur waar veiligheidslekken in zouden kunnen zitten. Kans is natuurlijk erg beperkt, maar dat was jouw voorbeeld over het onderscheppen van het certificaat dat eenmalig over internet verstuurd werd natuurlijk ook.
[..]
Dus dat maakt het veilig?
[..]
Onderbouw dat dan eens. Ik denk dat jij jouw 'kennis' vooral van sites als stackoverflow, youtube en dergelijke hebt.
[..]
Met zo een dergelijke arrogante instelling heb je weinig in de beveiliging te zoeken. Sorry, maar je moet in dit veld wantrouwend richting jezelf zijn.
[..]
Ja, maar daar toon je nog niets mee aan omtrent veiligheid.
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?quote:
quote:Het is 100x veiliger en beter dan jouw gepruts.
Ik ben ook gestopt met lezen met NAS externe verbinding doet leggen <insert more blabla>.
Moet je je OS eens zelf kijken, als die checked voor updates? Maar niet meer doen? Had je al gelezen dat het ook secure gebeurd btw?
Hierna nog meer blabla, ik link je wat bronnen, zodat je je kunt inlezen, en doet maar een aanname op basis daarvan.
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?quote:Fijn dat mijn uitleg helder was, en het met jouw gepruts, gewoon niet zal werken icm. een SmartTV. ook al vang je die shit af dat het secure MOET op die server, zal dat in jouw setup niet gaan. Omdat het niet valid is.
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.quote:Op dinsdag 23 mei 2017 20:05 schreef vaduz het volgende:
[..]
Uit je eigen mond? Van het stukje hieronder kan ik in ieder geval weinig maken, het is nogal onsamenhangend?
[..]
[..]
Het is ook niet de bedoeling dat het werkt, om de data op de NAS te beschermen. Veiligheid is meer dan een veilige verbinding. Ga je ons nog vertellen, welke kwalificaties je hebt met je jarenlange ervaring?
Je geeft dus geen wederhoor?quote:Op dinsdag 23 mei 2017 20:11 schreef pnxsinned het volgende:
[..]
Nee, met blabla bedoel ik meer dat je eens moet stoppen in hetgeen wat jij denkt te weten over mij. Dus reageer ik daar ook niet op. Ook niet op persoonlijke vragen.
Nogal voorbarig.quote:Ik wil dat het juist wel werkt voor TS en _secure_ is, en derhalve is mijn setup in dit geval de enige juiste,
Want?quote:en die van jouw onjuist.
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.quote:Het is bij jouw, of het werkt niet, of het is unsecure. Lachwekkend
Nee, bij jouw werkt het niet nogmaals. Moet ik je het SmartTV stuk nog eens uitleggen? Enkel al daarom, is jouw setup onjuist. Dat is namelijk niet werkend te krijgen, met selfsigned certs.quote:Op dinsdag 23 mei 2017 20:14 schreef vaduz het volgende:
[..]
Je geeft dus geen wederhoor?
[..]
Nogal voorbarig.
[..]
Want?
[..]
Bij mij is het veilig, of werkt het niet om de veiligheid van de data te waarborgen. Bij jou is welliswaar de verbinding veilig (zij het met specifieke uitzonderingen, net zoals bij een willekeurige andere oplossing), maar is de veiligheid van de data in mindere mate gewaarborgd.
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.quote:Op dinsdag 23 mei 2017 20:17 schreef pnxsinned het volgende:
[..]
Nee, bij jouw werkt het niet nogmaals.
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?quote:Moet ik je het SmartTV stuk nog eens uitleggen?
Maar er zijn dus volgens jou nog meer argumenten?quote:Enkel al daarom, is jouw setup onjuist.
Dus? Moet je het veiligheidsniveau maar verlagen?quote:Dat is namelijk niet werkend te krijgen, met selfsigned certs.
Dat zegt dan wel het een en ander over jouw competenties.quote:Meer helder kan ik het je niet uitleggen,
TS wilt iets werkends. Van jouw werkt niet.quote:Op dinsdag 23 mei 2017 20:21 schreef vaduz het volgende:
[..]
Om de veiligheid te waarborgen. Dat geef ik toch ook toe.
[..]
Om nogmaals aan te tonen dat jij onveilige apparaten op je netwerk toe laat?
[..]
Maar er zijn dus volgens jou nog meer argumenten?
[..]
Dus? Moet je het veiligheidsniveau maar verlagen?
[..]
Dat zegt dan wel het een en ander over jouw competenties.
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.quote:Op dinsdag 23 mei 2017 20:22 schreef pnxsinned het volgende:
[..]
TS wilt iets werkends. Van jouw werkt niet.
1 + 1 = 2.
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.quote:Veel succes met je eigen competenties.
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouwquote:Op dinsdag 23 mei 2017 20:25 schreef vaduz het volgende:
[..]
TS wil iets veiligs. TS had al iets werkends in de initieele situatie. Het is aan de TS om zelf het gewenste veiligheidsniveau te bepalen. Dat maakt mijn oplossing niet onjuist.
[..]
Ik heb ondertussen wel mijn veterstrikdiploma behaald, dus veel lager als die geheimzinnige competenties van jou zal het wel niet zijn.
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.quote:Op dinsdag 23 mei 2017 20:29 schreef pnxsinned het volgende:
[..]
TS had het niet werkend gekregen met jouw setup. M.a.w. onjuiste oplossing. Dergelijke devices zouden gewoon GEEN connectie kunnen maken.. daar heeft TS idd wat aan. Dan was zijn initieele situatie nog beter dan hetgeen van jouw
Kan je niet lezen of wat is je probleem?quote:Op dinsdag 23 mei 2017 20:32 schreef vaduz het volgende:
[..]
Nee, want in de initeele situatie was de veiligheid van zijn gegevens niet gewaarborgd, net zoals de veiligheid van zijn gegevens minder is gewaarborgd in jouw situatie ten opzichte van mijn situatie.
Dat is een vraag die ik eveneens aan jou kan stellen.quote:Op dinsdag 23 mei 2017 20:35 schreef pnxsinned het volgende:
[..]
Kan je niet lezen of wat is je probleem?
Als veiligheid een prioriteit is, dan wel.quote:Op jouw manier kunnen diverse devices en services geen connectie maken. Daar heeft niemand iets aan.
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.quote:Op mijn manier, alles secure, zonder gezeik
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.quote:Op jouw manier is sowiso unsecure, want DSM, kan je niet forcen op enkel SSL,
Dus jij wilt nu beweren dat een Valid cert van een valid CA onveilig is? Alle websites die https hebben zijn niet secure? Wat bazel je nu man, de setup die ik benoem is namelijk juist dat.quote:Op dinsdag 23 mei 2017 20:43 schreef vaduz het volgende:
[..]
Dat is een vraag die ik eveneens aan jou kan stellen.
[..]
Als veiligheid een prioriteit is, dan wel.
[..]
Op jouw manier is de verbinding weliswaar veilig (al ga je een probleem krijgen als de certificaten in je TV verlopen en de fabrikant geen ondersteuning meer biedt), maar is de veiligheid van de data niet gegarandeerd. Initieel geeft een goede configuratie mogelijk veel gezeik, al valt dat mijns insziens in het niet in vergelijking met mogelijke gevolgen van ongeautoriseerde kopieen van data.
[..]
Dat zal ik moeten nalopen, al lijkt me dat dan sowieso een behoorlijke tekortkoming van dat apparaat. Eventueel kun je verbindingen naar de NAS over poort 80 (ander poorten die gebruikt worden voor niet SSL verbindingen) blokkeren om dat op te lossen.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |