Toggle sidebar

Chatwoot Installation

Ulfhednir

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Meine Config wird dir nur bedingt bis gar nicht weiterhelfen, da ich SWAG verwende.
swag.gif


Du schreibst folgendes:
https://meineDomain.tld/rails/active_storage
Zum Vergrößern anklicken....

Hast du für Chatwoot keine eigene Subdomain z.B. chatwoot.meineDomain.tld angelegt?
In dem Kontext solltest du auch HTTPS/443:HTTP/3000 krummbiegen.
Stack idealerweise plätten und mit korrekter (Sub)domain neu aufsetzen.
 
Ulfhednir

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Mit welchem Hintergrund begründest du den Wunsch nach einem abweichendem Port?
Verbesserte Sicherheit & Usability sind es ja faktisch nicht. Es sei denn, du möchtest Gedächtnispsport betreiben, dann wäre das ein Argument.
 
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
Es sei denn, du möchtest Gedächtnispsport betreiben, dann wäre das ein Argument.
Zum Vergrößern anklicken....
Brauch ich nicht, da ich mir das protokolliere ;)

Aber ich würde sagen, dass es schon sicherer ist, einen individuellen (unbekannten Port) auf dem Router freizugeben, statt einem bekannten https 443 Port, oder siehst du das anders?

Abgesehen davon, nutze ich den 443 Port eigentlich schon für eine andere Anwendung, mit dieser Domain :/
 
EDvonSchleck

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wenn du den 443 schon offen hast, warum willst du dann noch einen weiteren öffnen und so die Sicherheit herabsetzen? (Wenn du eh schon soviel Angst hast) 2 offene Port sind doch doppelt so unsichere wie ein 1 offener Port. Scheinbar hast du noch mehrere andere dokumentierte Ports.
 
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
das hast du falsch verstanden.
ich habe nicht gesagt, dass ich den Port 443 offen habe und auch nicht gesagt das ich alle anderen Ports offen habe ;)

Lediglich die Aussagen: Ich habe eine Domain, welche ich nutze - portbasiert für unterschiedliche Anwendungen.
Erreiche diese alle via VPN - somit kein 443 offen.

Fakt ist: Sobald ich chatwoot mit 443 laufen lasse = alles super!
Nutze ich einen individuellen Port, habe ich die Probleme mit den Attachments. hmmm...
 
Ulfhednir

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ich sehe es schon als unsinnig an. Insbesondere wenn du Chatwoot ohnehin in eine "öffentliche" Webseite einbindest.
Mal angenommen jemand möchte dich oder explizit deine Seite hacken... Dann reicht ein Blick in die Entwicklerwerkzeuge des Browsers um festzustellen, dass du eine Chatwoot-Installation mit der URL domain.tld:4711 hast. Ob da nun der Port 443, 99999 steht oder sonst etwas: Das sind im Zweifelsfall nur wenige Klicks, um die Information aus dem Quelltext herauszuholen.

Dann gibt es noch die Fälle von "Hackern", die willkürlich agieren. Die nutzen dann einen Portscanner. Da wird dann im Zweifelsfall deine IP mit einem Botnetz nach offenen Ports abgescannt. Da kommen dann 10-20 offene Ports raus. Der Versuch IP:4711 funktioniert im besten Fall sofort, um auf eine Application zuzugreifen. In deinem Fall ist aber der Reverse Proxy am Gange - wunderbar. Das heißt: Der Angreifer benötigt die Kombination (sub)Domain und Port. Das schränkt schon dramatisch ein.
Bei dem besagten Angriffsvektor (IP Scan) ist es aber unwahrscheinlich, dass man überhaupt zusätzlich die Domain abklappert (die man beim Scan zusätzlich benötigen würde). Eine Art Reverse DNS (gib mir eine Liste aller Subdomains von der Domain gibt es nicht).
Ergo ist es hier vollkommen Stulle, ob der Port abweichend ist oder nicht - zumindest, wenn ein Reverse Proxy im Einsatz ist.
In dem Kontext eine Sache: Angenommen der Angreifer hat eine Anwendung ausfinding gemacht, die unter www.blablabla.tld, läuft. Dann hat der Anwender im besten Fall die Annahme, dass dies die einzige Anwendung unter dem Port ist. Das heißt: Er würde sich jetzt die Mühe machen und versuchen den Apache, whatever, zu kompromittieren. Die anderen Anwendungen bleiben bestenfalls aufgrund der fehlenden Infos unberührt.

Für mich ist der Sicherheitsgewinn trügerisch und unter dem Aspekt der Usability (man muss sich für jegliche Anwendung einen zusätzlichen Port merken) unsinnig. Kann jeder machen wie er möchte, ich handhabe das aber praktisch.

P.S.: In der Regel sind kritische Anwendungen mittels Authelia zusätzlich per 2FA geschützt. Das ist dann ein echter Sicherheitsgewinn.
 
  • Like
Reaktionen: EDvonSchleck und Ghost108
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
@Ulfhednir
wo du recht hast, hast du recht. So habe ich das noch nicht gesehen.
Danke für die detaillierte Aussage - war wirklich sehr hilfreich!!!

Dann werde ich es auf port 443 laufen lassen! :)
 
EDvonSchleck

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
@Ghost108 , dein Problem in allen Threads sind dein Angaben die du zum Problem machst. Dadurch wird jeder Thread von dir zur Qual weil du einfach nicht alles schreibst. Im jetzigen Thread war niemals von VPN die Rede (Browsersuche). Außerdem sehe ich es wie @Ulfhednir. Du hast so wichtige Sachen das Probleme nicht nachstellen kannst aber woanders zeitgleich neue Anwendungen ausprobierst. Jedes Mal fehlen wichtige angaben, die erst nach etlichen Seiten heraus kommen. Entweder du strengst dich jetzt einmal an und beschreibst dein Problem richtig und vor allem vollständig. ES KANN DIR SONST KEINER HELFEN.

Überdenke das bitte einmal!
 
  • Like
Reaktionen: Ulfhednir
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
VPN hat auch mit DIESEM Thema nichts zu tun ;)
Denn der LiveChat soll ja auch ohne VPN funktionieren.

Manche Sachen kommen erst step by step raus - besonders wenn das Thema für jemanden neu ist.
Und ich finde das @Ulfhednir mir sehr geholfen hat.
 
EDvonSchleck

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Mal wieder auf 3 Seiten, weil du einfach dein Problem nicht beschreiben kannst. Ich versteh #47 so das du deine Domain intern nutzt und dich via VPN verbindest und lieber einen anderen Port freigeben willst, weil dieser geheimer sein soll!

Du machst wie immer alles komplizierter als es ist.
 
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
dann hast du es vielleicht falsch verstanden?
Und vielleicht möchtest du mir das auch gerne alles privat schreiben, statt off topic zu erzeugen? ;)
 
G

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.248
Punkte für Reaktionen
70
Punkte
68
Guten Morgen. Habt Ihr noch eine Idee, wo ich gezielt Fragen in Bezug auf Chatwoot stellen kann?
Scheint dafür kein offizielles Support Forum zu geben oder?
Alle weiteren Fragen meinerseits gehören nicht mehr hier hin, da dies nichts mit Docker zu tun hat.
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück