qupfer Posted September 11, 2010 Posted September 11, 2010 Hi, gibt es die möglichkeit den http Zugriff auf den RS irgendwie abzusichern? Wenn ich das richtig sehe wird Benutzernsme/PW unverschlüsselt übertragen was ich jetzt nicht so schön finde. Daher habe ich mir bisher so geholfen den Port via firewal zu sperren und mich von wo anders erst mittels SSH zu verbinden und dann das Webfrontend aufzurufen. In irgendeinen Thread habe ich zwar den sicherlich ansich guten Vorschlag gefunden einen apache Webserver vorzuschalten und zu diesem mittels https zu verbinden den dann "lokal" die weiterleitung zu überlassen. Leider bin ich da an der Konfiguration gescheitert Gibts vieleicht noch andere (einfachere) Ansätze oder gibts irgendwo ein Idotensicheres-Apache Tutorial für diesen Zweck? Danke qupfer PS: ich weiß dass das ganze etwas paranoid erscheint und sich mit an 100%ige Wahrscheinlichkeit keine für mein LogIn interessiert und auch vermutlich niemand mein Traffic überwacht und somit das unverschlüsselte PW bekommen würde aber trotzem würde ich gerne eine halbwegs sichere Verbindung haben...ob übertrieben oder nicht
Lars_MQ Posted September 11, 2010 Posted September 11, 2010 Wenn ich das richtig sehe wird Benutzernsme/PW unverschlüsselt übertragen was ich jetzt nicht so schön finde. Das ist falsch. Wenn der webbrowser das erlaubt, wird das ganze per digest authentifizierung erledigt. siehe auch http://de.wikipedia...._Authentication . Halbwissen ist gefährlich. Bitte vorher mal google nutzen, bevor man solche schoten rausknallt. HTTPS ist eine komplett verschlüsselte Übertragung aller Daten und nicht nur des logins.
dbraner Posted September 12, 2010 Posted September 12, 2010 (edited) PS: ich weiß dass das ganze etwas paranoid erscheint und sich mit an 100%ige Wahrscheinlichkeit keine für mein LogIn interessiert und auch vermutlich niemand mein Traffic überwacht und somit das unverschlüsselte PW bekommen würde aber trotzem würde ich gerne eine halbwegs sichere Verbindung haben...ob übertrieben oder nicht Das ist keineswegs paranoid. Wenn Du von unterwegs in einem öffentlichen WLAN auf Deinen Rechner zuhause zugreifst, solltest Du das per HTTPS oder VPN Tunnel tun. Alles andere ist Augenwischerei. Wenn ich mir den Accesslog meines Webservers anschaue ist der voll von unerlaubten Zugriffen, die versuchen, über bekannte Lücken Zugriff zu erhalten. Da gibts Botnetze, die komplette Adressbereieiche Deines Providers nach offenen Ports scannen. Das ist jetzt auch nicht DVBViewer spezifisch. Es betrifft jede Art von Zugriff aus dem Internet in Dein privates Netz. Der hinweis mit dem Apache war übrigens von mir. Die konfig ist natürlicch nicht trivial. Abuer prinzipiell ist das alles recht gut dokumetiert. Musst Dich halt etwas einlesen oder OpenVPN verwenden. Es gibt aucch Freeware Remoteaccess Lösubgen ... Edit: blöde ipad tastatur, hab jetzt keine lust alles zu korrigieren Edited September 12, 2010 by dbraner
qupfer Posted September 12, 2010 Author Posted September 12, 2010 Das ist falsch. Wenn der webbrowser das erlaubt, wird das ganze per digest authentifizierung erledigt. siehe auch http://de.wikipedia...._Authentication . Halbwissen ist gefährlich. Bitte vorher mal google nutzen, bevor man solche schoten rausknallt. HTTPS ist eine komplett verschlüsselte Übertragung aller Daten und nicht nur des logins. Naja...auch wenn meine Aussage falsch ist, schadet sie doch nicht? Umgedreht wärs es wohl schlimmer. Wenn man behauptet bei http wird Login generell verschlüsselt übertragen was ja auch nicht so ist (hast du natürlich nicht behauptet, aber denke du verstehst worauf ich hinaus will) https ist im normalfall sicherer als eine http verbindung und wenn neben dem LogIn noch der rest verschlüsselt wird, ist das doch eher von Vorteil... Und selbst wenn ich vorher wikipedia vorher befragt hätte hätte ich gewusst, dass es soetwas wie "Digest Access Authentication" gibt aber ob das vom RS genutzt wird, hätte ich damit auch nicht erfahren. Und nicht zu vergessen. Ich <-- Anwender
mague Posted September 12, 2010 Posted September 12, 2010 (edited) Das mit SSL Verschluesselung ist nicht trivial. SSL Zertifikate sind an einen Hostnamen gebunden, nicht an eine Software oder so. Von daher kann DVBV kein SSL mitbringen. Man koennte die optionale Moeglichkeit fuer ein selbstsigniertes Zertifikat evtl. einbauen. Die Nutzen/Aufwand Ratio ist eher klein. Das Passwort zu meiner privaten "Fernsehzeitschrift" ist eher unerheblich. Ich habe noch nichtmal Aufnahmen von Blue Movie. Aber selbst dann waere es egal Ausserdem sollten wichtige Passworte regelmaessig getauscht werden. Einmal die Woche oder so. Private Daten haben sowieso nichts auf einem vernetzten Rechner zu suchen. Sowas kann man allerhoechstens gecrypted auf einem USB Stick mit sich tragen. Viel wichtiger ist, das der Server selbst nicht kompromitierbar ist. Und da muss ich halt Lars und vermutlich Microsoft vertrauen. Da hilft auch kein SSL. Edited September 12, 2010 by mague
Recommended Posts