Webstation über Port 80 unverschlüsselt.

Swp2000 · 03. Nov 2015

Hallo Leute,

ich brauche euren Rat. Ich hatte bisher immer über den Port 443 Webstation HTTPS meine Bilder in Foren sowie zu bekannten in der Mail-Adresse verlinkt. Leider bekomme ich nun immer des öfteren zu hören, das sie einem Zertifikat vertrauen müssen um das Bild zu öfnen und die Benutzer am anderen Ende logischerweise dem gegenüber sehr skeptisch sind.
Nun die Frage an Euch. Kann ich hier auch unverschlüsselt die Bilder ablegen und über Port 80 zur Verfügung stellen? Oder wäre das für mich zu unsicher? Ich gebnieße einfach der Einfachheit halber das ablegen und verlinken meiner Bilder, Dateien, Dokumente usw. zu meiner DS.

Anzeige · 03. Nov 2015

Hallo Swp2000,

Bücher und Hardware zum Thema gibt es bei Amazon: Webstation über Port 80 unverschlüsselt.

Tommes · 03. Nov 2015

Ob verschlüsselt oder nicht hängt auch ein Stück weit von deiner eigenen Paranoia ab. Im Grunde spricht meines Erachtens erstmal nichts dagegen auch Dienste per http (Port 80) anzubieten, solange du keine schützenswerte (Zugangs-)Daten übertragen möchtest.

Ich biete zwar keine Dateien etc. an, jedoch betreibe ich eine kleine Website auf meinem Raspberry Pi, die erstmal unverschlüsselt über http erreichbar ist. Den Backend-Bereich des dahinterliegenden CMS ist jedoch nur über https erreichbar. Weiterhin erreiche ich ausschließlich über https auch ownCloud.

Man muß also immer differenzieren und seinen individuellen Bedürfnissen anpassen. Unsicher ist http immer, https ist im jedem Fall vorzuziehen, gängelt u.a. aber auch die Benutzer deines Systems, verwendest du denn weiterhin ein unsigniertes Zertifikat. Alternativ könntest du mal über ein signiertes Zertifikat nachdenken.

Tommes

Swp2000 · 03. Nov 2015

Und wie stelle ich das an mit dem signierten Zertifikat?
PS: Was würdest du mir den empfehlen? Ich möchte eben hin und wieder wenn Bedarf ist ein Link generieren bei welchem die Nutzer die ich nicht extra anlegen möchte, Dateien runterladen / anschauen können!

Frogman · 03. Nov 2015

Such mal nach 'StartSSL' im Forum oder bei Tante Google.

Swp2000 · 03. Nov 2015

Frogman schrieb:
Such mal nach 'StartSSL' im Forum oder bei Tante Google.

Was bewirkt ein solches Zertifikat überhaupt? Das ich mich quasi identifiziere als sichere Adresse zu meiner DS?

Frogman · 03. Nov 2015

Das Zertifikat (was den öffentlichen Teil eines Schlüsselpaares darstellt, das auf dem Server liegt) ist ein Merkmal einer PKI und wird im Rahmen einer hybriden Verschlüsselung für die asymmetrische Verschlüsselung beim Start einer Verbindung zwischen Server und Client - hier dem Browser - verwendet:

Der Client ruft einen Server auf, dieser schickt sein Zertifikat.
Für die Etablierung des verschlüsselten Kanals zwischen Browser und Server verschlüsselt der Browser mit dem Zertifikat nun ein geheimes Passwort X und schickt es dem Server.
Der Server entschlüsselt nun mit seinem privaten Schlüssel (dem Gegenstück zum öffentlichen Zertifikat) das, was der Browser ihm geschickt hat - und erhält das geheime Passwort X. Weil nur der Server diesen privaten Schlüssel besitzt (bzw. besitzen sollte), kann niemand sonst das geheime Passwort entschlüsseln.
Anmerkung: hier ist der Grund zu suchen, warum man bei der Erzeugung eines Zertifikats, bspw. auch bei StartSSL, niemals das Schlüsselpaar bei der CA generieren lassen sollte - denn dann kann der private Schlüssel in die Hände Dritter gelangen und den Server kompromittieren. Also immer das Schlüsselpaar selbst auf der DS oder noch besser einem eigenen Rechner erzeugen und mit einem CSR das Zertifikat anfordern!
Nun können Browser und Server ihre Kommunikation mit dem geheimen Passwort, was sie jetzt beide kennen, symmetrisch verschlüsseln - entsprechend der ausgehandelten Cipher (bspw. AES128).

Erwähnenswert ist, dass dieses auch mit selbstsignierten Zertifikaten wie demjenigen funktioniert, was Synology auf der DS erzeugt. Browser prüfen allerdings aus Sicherheitsgründen, ob das Zertifikat auf diejenige Domain ausgestellt ist, unter der die Seite zu erreichen ist, die man gerade aufgerufen hat (das passiert praktisch als Schritt 1a in der obigen Liste). Zusätzlich wird geprüft, ob das Zertifikat von einer ihm bekannten CA (Certification Authority) signiert wurde. Passt das Zertifikat, geht es weiter - passt es nicht, erfolgt eine Warnung, die man quittieren muss, bevor es weitergeht.

Tommes · 04. Nov 2015

Swp2000 schrieb:
Was würdest du mir den empfehlen?

Wie gesagt. Wenn es sich dabei um unwichtige, nicht schützenswerte Daten handelt, die obendrein ohne jegliche Zugangs- bzw. Zugriffsberechtigungen erreichbar sind / sein sollen, spricht erstmal nichts gegen http. Damit meine ich aber auch wirklich nur solche Daten, die auf deinem Webserver von jedem einsehbar / erreichbar sind und nicht über Zugangsberechtigungen über z.B. die FileStation des DSM laufen.

Das du mit einer Portweiterleitung (egal welcher Port) immer irgendwie eine Angriffsfläche auf dein eigenes LAN schaffst, sollte dir aber auch bewusst sein. Aber wie gesagt, das kommt halt auch ein Stück weit auf deine eigene Paranoia an, was du zulässt und was nicht.

Tommes

Swp2000 · 04. Nov 2015

Tommes schrieb:
Wie gesagt. Wenn es sich dabei um unwichtige, nicht schützenswerte Daten handelt, die obendrein ohne jegliche Zugangs- bzw. Zugriffsberechtigungen erreichbar sind / sein sollen, spricht erstmal nichts gegen http. Damit meine ich aber auch wirklich nur solche Daten, die auf deinem Webserver von jedem einsehbar / erreichbar sind und nicht über Zugangsberechtigungen über z.B. die FileStation des DSM laufen.

Das du mit einer Portweiterleitung (egal welcher Port) immer irgendwie eine Angriffsfläche auf dein eigenes LAN schaffst, sollte dir aber auch bewusst sein. Aber wie gesagt, das kommt halt auch ein Stück weit auf deine eigene Paranoia an, was du zulässt und was nicht.

Tommes

Es sind ja dann auch nur diese Daten ersichtlich zu denen es Links gibt oder?
Auf dieser DS befinden sich nur die Videos der SS und die Verlinkungen die in Foren angelegt werden sollen. Meine sensiblen Daten liegen auf anderen DSen!

goetz · 04. Nov 2015

Hallo,
@Swp2000
auch hier bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

Tommes · 04. Nov 2015

Swp2000 schrieb:
Es sind ja dann auch nur diese Daten ersichtlich zu denen es Links gibt oder?

Theoretisch ja. Praktisch gibt es bestimmt auch Möglichkeiten an die nicht verlinkten Inhalte dranzukommen und sei es durch einfaches probieren. Aber davor schützt dich auch keine SSL-Verschlüsselung.

Tommes

Swp2000 · 04. Nov 2015

Für was dient den dann die SSL bzw. HTTPS Verschlüsselung. Dies soll doch den Weg um auf die DS zu kommen erschweren,oder?

goetz · 04. Nov 2015

Hallo,
nein, es geht nicht darum den Zugang zu erschweren. Per Verschlüsselung wird die Kommunikation zwischen Client und Server abhörsicher, zB. können keine Passwörter mitgeschnitten werden.

Gruß Götz

Tommes · 04. Nov 2015

Du darfst hierbei nicht die Übertragungsverschlüsselung mit einer klassischen Dateiverschlüsselung verwechseln. Bei https wird nur die Komunikation zwischen Webserver und Webbrowser verschlüsselt, die Daten auf deinem Server liegen jedoch weiterhin unverschlüsselt vor.

Tommes

Swp2000 · 05. Nov 2015

Diesen genannten Unterschied kenne ich Tommes, demnach ist aber für mein Vorhaben die SSL Verschlüsselung zweitrangig, da keine Passwörter sondern nur ausgewählte Bilder zur Verfügung gestellt werden...

Tommes · 05. Nov 2015

Dann sehe ich das genauso wie du. Meine Website läuft auch unverschlüsselt über den Äther und das soll auch so sein. Von daher... alles gut.

Tommes

Suche

Webstation über Port 80 unverschlüsselt.

Swp2000

Benutzer

Anzeige

Tommes

Benutzer

Swp2000

Benutzer

Frogman

Benutzer

Swp2000

Benutzer

Frogman

Benutzer

Tommes

Benutzer

Swp2000

Benutzer

goetz

Super-Moderator

Tommes

Benutzer

Swp2000

Benutzer

goetz

Super-Moderator

Tommes

Benutzer

Swp2000

Benutzer

Tommes

Benutzer

Kaffeautomat