Android App kein https - Alternativen?

[hoodie]

Hi Leute,
also das Forum und auch das englische ist inzwischen mehrere Std. von mir durchsucht worden. Praktisch jeder hat das Problem mit der nicht vorhandenen https Option in der DS Audio App auf einem Android Device.
Ich habe auch schon unendlich viele Optionen durchprobiert. Anfangs hatte ich noch den Port 5000 offen und alles lief problemlos.
Im Router will ich aber partout nicht die "unsicheren" Ports aufmachen, daher ist nur 5001, 7001, 443 offen. Damit komme ich natürlich auch überall ran, aber nicht an die Audio Station. Ich will aber dennoch übers handy meine MP3s hören.
Folgendes habe ich probiert und bin gescheitert:
- dyndns.de, dyndns.de:443 und dyndns.de:5001. Testweise auch aus dem LAN 192.168.1.72, ebenfalls mit 443 und 5001
- https://dyndns.de, auch mal mit 443 und 5001 und 5000 (obwohl sinnlos)
- und noch alle möglichen kleinigkeiten...
Von daher ist anzunehmen, dass Audio Station über https derzeit einfach net möglich ist (von Android aus). Und sich im DSM anzumelden im Browser macht auch wenig Sinn, da der Player nicht so recht Touchscreen-freundlich ist.

Was habe ich für Alternativen?
Ich habe einen interessanten Ansatz hier gelesen, in dem davon gesprochen wird einfach einen User einzurichten, der nur Lese Zugriff auf die Audio Station hat (bei den App Berechtigungen). Dann trotz allem den Port 5000 im Router durchschleifen und einfach nie mit einem anderen user von aussen auf 5000 einloggen.
Aber was bedeutet das im Endeffekt? Habe ich da einen Denkfehler?
Angenommen ich mache den Port 5000 auf. Die Option Http -> Https in den DSM Einstellungen vorsichtshalber aktivieren?
Einloggen mit anderen Usern nur via 5001 im DSM. Zum Mucke hören aber 5000 nutzen via App. Kann dann trotzdem im Grunde jeder Honk die Verbindung belauschen?
Bzw. es müsste doch bei einem Man in the Middle Versuch "lediglich" der eingeschränkte User gefahr laufen ausspioniert zu werden und der hat ja nur Leserechte auf die Audio Station.

Generell verstehe ich die Sicherheitsaspekte nicht ganz. Bei den "unsicheren" ports geht es doch nur um die fehlende Verschlüsselung. Heisst, nur bei Logins besteht die Gefahr, dass mir die Daten geklaut werden.
Aber was ist wenn ein ScriptKiddie oder Hacker nun den User mit NUR lesezugriff über dem 5000er die Daten klaut und sich einloggt? Kann der groß Unfug treiben?

Sorry für die Verwirrung, aber ich blicke net mehr so ganz durch

 

[grueni_fa]

Hast du die Firewall der DS aktiviert?
Wenn ja, sind dort auch der Port 5001 geöffnet?

 

[hoodie]

Die FW der DS ist aus. Ich bin mal so dreist und behaupte, dass ich (und viele andere) einfach bereits alles ausprobiert haben. Es scheint bei iPhone Apps wohl wunderbar zu funktionieren (da diese wohl mit einer https Option daherkommt) aber nicht auf Android Plattformen (auch nicht mit unterschiedlichsten schreibweisen s.o.). Ich frage mich daher nun ob sich das Sicherheitsrisiko erhöht wenn ich den 5000er Port weiterleite, mich aber nur mit einem entsprechend eingeschränkten User (s.o.) einlogge...

 

[hoodie]

und ich merke gerade: Wenn die 5000 auf ist, dann kann man auch das DSM über den unverschlüsselten Port erreichen Das ist ja dann mal total Banane...
Wenn ich die option "http an https weiterleiten" einschalte ist das ein Sicherheitsplus oder ist das nur ein Komfort-Faktor, damit ich nicht "mühsam" das https eingeben muss?

 

[linuxdep]

Soweit ich das verstanden habe geht leider bei Android kein https, darum sch...
Bleibt nur die Version VPN-Tunnel, aber das ist wohl auch nicht so ohne bei Android wie ich gelesen habe, zumindest nicht oob, schade eigentlich.

 

[goetz]

Hallo,
es geht (zumindest intern, extern kann ich jetzt nicht testen) wenn man http an https weiterleiten einschaltet. In DS Audio nur die reine IP eintragen.

Gruß Götz

 

[hoodie]

Soweit ich rausgefunden habe ist die Weiterleitungsfunktionalität im Prinzip tatsache nur eine Komfort-Funktion. Sprich: das Interface wird auf den SSL Port weitergeleitet, der ursprüngliche 5000er muss aber scheinbar trotzdem auf bleiben.

 

[petehild]

Ich habe vor ein paar Monaten schon eine email an die email Adresse geschrieben, die im Market unter Entwickler steht. Ich habe auch recht schnell eine Antwort bekommen: https steht wohl auf der Todo Liste, leider hilft uns das jetzt nicht viel. Vielleicht kann nochmal jemand nachfragen...

Gruß
Pete

 

[Matthieu]

Ich habe vor ein paar Monaten schon eine email an die email Adresse geschrieben, die im Market unter Entwickler steht. Ich habe auch recht schnell eine Antwort bekommen: https steht wohl auf der Todo Liste, leider hilft uns das jetzt nicht viel. Vielleicht kann nochmal jemand nachfragen...

Gruß
Pete

Mit dem DSM 4.0 sollten auch Updates zu den Apps kommen, also am besten mal ein paar Tage oder Wochen warten.

MfG Matthieu

 

[petehild]

Ok, danke gut zu wissen

Gruß

 

[petehild]

Seit heute gibt es Updates für die Android DS Apps, bei den Änderungen für die neue Version der DS Audio App findet sich folgendes: "Support login credentials encryption with HTTP connection (DSM 4.0 required)". Also müssen wir nur noch auf die DSM 4.0 warten

Grüße
Pete

 

[Matthieu]

Seit heute gibt es Updates für die Android DS Apps, bei den Änderungen für die neue Version der DS Audio App findet sich folgendes: "Support login credentials encryption with HTTP connection (DSM 4.0 required)". Also müssen wir nur noch auf die DSM 4.0 warten

Grüße
Pete

Als beta schon seit heute morgen öffentlich herunterladbar.

MfG Matthieu

 

[petehild]

Als beta schon seit heute morgen öffentlich herunterladbar.

MfG Matthieu

Stimmt, hab ich auch schon gesehen. Aber Beta kommt mir lieber nicht auf die DS

Gruß
Pete

 

[petehild]

Hat eigentlich mal jemand hinbekommen DS Audio für Android mit https login zu benutzen?
Bei mir scheint es nicht zugehen (neuste Version der App ist installiert).
Über Port 5000 geht es, über Port 5001 leider nicht...

Mache ich etwas falsch?

 

[hoodie]

Funktioniert auch bei mir nicht. Die gewohnten tausend Versuche mit Varianten der Schreibweise hab ich alle durch...denke da müssen wir uns echt noch gedulden
Bis dahin für mich keine Musik aufs Smartphone streamen

 

[petehild]

Komisch nur, dass es ja schon seit einiger Zeit in der App drin sein soll. Mich hat aber gleich gewundert, warum es keine Checkbox für https gibt, wie bei den anderen Apps.

 

[Trolli]

Ist aber vielleicht auch nicht mehr so wichtig. Aus den Release Notes zur 4.0:

Login credential encryption will be supported even with HTTP connection. Your sensitive username and password data will be securely transferred when you use DS cam, DS audio and DS finder with DSM 4.0.

 

[hoodie]

Richtig, aber ich finde ehrlich gesagt nicht mehr die Beschreibung, in der steht, dass SSL nur mit DSM4.0 geht... ("Support login credentials encryption with HTTP connection (DSM 4.0 required)"
Und auf der offiziellen Seite heisst es immer noch "HTTPS nur für iOS Version" ( http://www.synology.com/dsm/DS_audio.php?lang=deu )

Wer weiss, wahrscheinlich sind die schnell zurückgerudert aus unerfindlichen Gründen...ich frag mal den Support.

Ist aber vielleicht auch nicht mehr so wichtig. Aus den Release Notes zur 4.0:

Ach so, hm, ich hatte das so verstanden, dass HTTPS geht. So ganz verstehe ich das ansonsten nicht. SSL Verschlüsselung über HTTP = HTTPS, soweit ich weiss. Komisch...

 

[petehild]

Ist aber vielleicht auch nicht mehr so wichtig. Aus den Release Notes zur 4.0:

Dazu muss man dann aber nach außen Port 5000 öffnen, das wollte ich eigentlich vermeiden... hm...

 

[Trolli]

Ach so, hm, ich hatte das so verstanden, dass HTTPS geht. So ganz verstehe ich das ansonsten nicht. SSL Verschlüsselung über HTTP = HTTPS, soweit ich weiss. Komisch...

Man kann natürlich auch ohne HTTPS verschlüsseln, wenn die Software an beiden Endpunkten das unterstützt...

Dazu muss man dann aber nach außen Port 5000 öffnen, das wollte ich eigentlich vermeiden... hm...

Man kann ja in der 4.0 für die einzelnen Anwendungen spezielle Ports definieren, die dann eben nur den Zugriff auf den jeweiligen Dienst erlauben. Du musst also nicht Port 5000 freigeben, um die Audio Station oder die Surveillance Station zu benutzen. Und DS File arbeitet eh mit WebDAV.

Außerdem gibt es ja jetzt auch noch das hier:

QuickConnect offers ezCloud ID which allows you to connect your Synology DiskStation using Cloud Station client or DS file without setting up port forwarding rules on your router.