synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяPhotoStation › Photo Station по HTTPS (secured)

Photo Station по HTTPS (secured)

SergeS · 12.07.2014

А как заставить PhotoStation работать исключительно по https протоколу? Что-то я такой настройки не вижу...

SergeS · 13.08.2014

Что - никак? Никого не заботит, что пароль на http не шифруется и кто угодно может его видеть? Я немного удивлен :-)))

polanat · 13.08.2014

Тот, кого заботит доступ по http, использует доступ по https. Попробуйте пробросить на роутере 443 порт, протокол TCP.

 

PS У Вас статика или динамика?

 

PSS Да и ещё вопрос у Вас цифровой сертификат идентичности имеется??

SergeS · 13.08.2014
Тот, кого заботит доступ по http, использует доступ по https. Попробуйте пробросить на роутере 443 порт, протокол TCP.

 

PS У Вас статика или динамика?

 

PSS Да и ещё вопрос у Вас цифровой сертификат идентичности имеется??

 

Сертификат имеется, для захода в админку и всякие FileStation все работает именно по https (а по http без s соответственно не работает).

443 порт НЕ проброшен, не совсем понятно, как это должно помочь если PhotoStation и так уже работает по хттп без шифрования...

Да и в локалке PhotoStation по https не работает, а по хттп - работает, так же как и снаружи, так что дело не в пробросе портов.

 

Собственно говоря, мой вопрос надо наверное разбить на две части:

 

1) как сделать, что бы PhotoStation НЕ работала по простому http (без s)?

2) как сделать, что бы PhotoStation работала по https?

 

п.с. У меня динамика с ddns от no-ip.com, жалоб вроде нет особых, все работает.

polanat · 13.08.2014
443 порт НЕ проброшен, не совсем понятно, как это должно помочь если PhotoStation и так уже работает по хттп без шифрования...

Как то я Вас не понимаю - Вы снаружи доступ к Вашей фотоколлекции открываете или нет? 443 порт именно и нужен для доступа к ней по https. Если у Вас открыт доступ снаружи к Вашей фотоколлекции через http - то у Вас на роутере проброшен 80-й порт - так? Давайте для начала разберёмся с этим, а потом пойдём дальше...

 

Что - никак? Никого не заботит, что пароль на http не шифруется и кто угодно может его видеть? Я немного удивлен :-)))

Простите, кто угодно это кто? Ваши домашние? Это они хотят хакернуть Вашу фотоколлекцию???

SergeS · 14.08.2014
Как то я Вас не понимаю - Вы снаружи доступ к Вашей фотоколлекции открываете или нет? 443 порт именно и нужен для доступа к ней по https. Если у Вас открыт доступ снаружи к Вашей фотоколлекции через http - то у Вас на роутере проброшен 80-й порт - так? Давайте для начала разберёмся с этим, а потом пойдём дальше...

 

Порт 443 - не проброшен, в принципе - могу и пробросить, но зачем, если и изнутри PhotoStation не работает по https, проблема не в пробросе 443 порта.

 

Порт 80 - конечно проброшен, и сам сайт (его корень) - работает по http, и я не хочу это ломать, следовательно - проброс 80 порта убирать не хочу.

PhotoStation по http сейчас тоже работает, и вот именно ее хочу перевести на https и только на https, без http.

 

А где у PhotoStation переключатель, разрешающий/запрещающий https? Вот это именно то, что я ищу.

polanat · 14.08.2014

Photo Station -> Настройки -> Основные -> Порт маршрутизатора

 

Что у Вас там прописано в полях:

 

Имя хоста или статического IP адреса:

 

HTTP:

 

HTTPS:

SergeS · 15.08.2014
Photo Station -> Настройки -> Основные -> Порт маршрутизатора

 

Что у Вас там прописано в полях:

 

Имя хоста или статического IP адреса:

 

HTTP:

 

HTTPS:

 

Ничего нет, все три поля пустые. Я не совсем понимаю смысл этих настроек, там вроде написано, что это для того, что бы шарить свои фото с фотостанции в социальные сети, а это вроде не совсем то, что меня интересует. А что там должно быть, мое имя хоста и мои же порты, 80 и 443? Сейчас попробую ;-)

Ну прописал, ничего вроде не поменялось - из внутренней сети как была фотостанция недоступна по хттпс, так и осталась.

sidor_ii · 15.08.2014
и изнутри PhotoStation не работает по https, проблема не в пробросе 443 порта.

Не знаю как у вас.

у меня без проблем фотостанция работает по https что изнутри, что снаружи.

SergeS · 15.08.2014
Не знаю как у вас.

у меня без проблем фотостанция работает по https что изнутри, что снаружи.

 

Где включается https для фотостанции? Настройки свои покажешь?

sidor_ii · 15.08.2014
Где включается https для фотостанции? Настройки свои покажешь?

особо ни чего не настраивал, да и фотостанция тут не причем.

http://s018.radikal.ru/i503/1408/14/c5cd92f8334a.jpg

SergeS · 15.08.2014
особо ни чего не настраивал, да и фотостанция тут не причем.

http://s018.radikal.ru/i503/1408/14/c5cd92f8334a.jpg

 

O, вот это оно, не заметил. Спасибо.

А теперь можно как то в добавок вообще запретить фотостанции по http (без s) работать? Не убирая проброс 80 порта?

sidor_ii · 15.08.2014
O, вот это оно, не заметил. Спасибо.

А теперь можно как то в добавок вообще запретить фотостанции по http (без s) работать? Не убирая проброс 80 порта?

Тут не подскажу.

наоборот во вне вывел только по 80 порту, т.к. не все пользователи имеют возможность открывать фотостанцию с работы, т.у. установка сертификатов запрещена политикой предприятия.

polanat · 15.08.2014
Ничего нет, все три поля пустые. Я не совсем понимаю смысл этих настроек, там вроде написано, что это для того, что бы шарить свои фото с фотостанции в социальные сети, а это вроде не совсем то, что меня интересует. А что там должно быть, мое имя хоста и мои же порты, 80 и 443? Сейчас попробую ;-)

Ну прописал, ничего вроде не поменялось - из внутренней сети как была фотостанция недоступна по хттпс, так и осталась.

Всё правильно - все три поля пустые. 443 порт проброшен на роутере. Вход на https://your_ddns_name/photo/#Albums

SergeS · 16.08.2014
Всё правильно - все три поля пустые. 443 порт проброшен на роутере. Вход на https://your_ddns_name/photo/#Albums

 

Это не то, настройка, которую я искал - в другом месте, вон смотри выше - мне уже показали.

polanat · 16.08.2014

Все правильно - ПЛЮС настройка, которую Вам показали.

 

PS То есть Вы по-прежнему не верите про 443 порт, ей богу не пойму почему... Скорее всего потому, что у Вас открыт 80 порт и всё прекрасно работает через http...

 

PSS Есть хороший параметр Сеть -> Настройки DSM -> Автоматически перенаправлять подключения HTTP на HTTPS, НО он НЕ распространяется на Web Station и Photo Station

 

Выдержка из сино-хелпа:

 

Настройки DSM

 

Установка подключения HTTPS:

 

Установите флажок Включить соединения HTTPS.

Чтобы перенаправить клиентов на порт HTTPS (5001) при попытке доступа к DSM через порт HTTP (5000), установите флажок Автоматически перенаправлять подключения HTTP на HTTPS.

Нажмите Применить.

 

Порты, используемые при подключении HTTPS:

 

DSM: Номер порта по умолчанию — 5001, поэтому вы можете безопасно осуществлять доступ к DSM путем ввода следующего адреса: https://server-hostname:5001/

Web Station и Photo Station: Номер порта по умолчанию — 443, поэтому вы можете безопасно осуществлять доступ к Web Station и Photo Station путем ввода следующего адреса: https://server-hostname/

sidor_ii · 16.08.2014
Photo Station -> Настройки -> Основные -> Порт маршрутизатора

 

Что у Вас там прописано в полях:

 

Имя хоста или статического IP адреса:

 

HTTP:

 

HTTPS:

Эти настройки не нужны для работы фотостанции.

Они вообще не понятно кому нужны :lol:

p.s.

Видимо "хомячкам" кто настраивает роутер из web интерфейса synology

SergeS · 16.08.2014
Все правильно - ПЛЮС настройка, которую Вам показали.

Нет, не правильно, та настройка, которую мне показали (в самой dsm, не в ФотоСтанции) - она да, влияет, это именно то, что я искал (только еще бы найти как выключить обычный хттп для фотостанции). А та настройка о которой ты говорил - в самой фотостанции - вообще ни на что не влияет, да и тут вроде об этом уже тоже написали, похоже это для тех, кто пробросом портов роутера рулит из DSM через upnp.

 

PS То есть Вы по-прежнему не верите про 443 порт, ей богу не пойму почему... Скорее всего потому, что у Вас открыт 80 порт и всё прекрасно работает через http...

Я -не верю? :-))) Ты шутишь? Я же вроде писал, что не вижу смысла делать проброс 443 порта наружу, потому что https по этому порту и во внутренней сети не работал. Ну, сейчас, когда https по 443 порту уже работает (спасибо sidor_ii) - конечно я сделаю проброс этого порта...

 

PSS Есть хороший параметр Сеть -> Настройки DSM -> Автоматически перенаправлять подключения HTTP на HTTPS, НО он НЕ распространяется на Web Station и Photo Station

Я об этом знаю, эту настройку использую, также знаю, что таки да, оно не распостраняется на ФотоСтанцию... Только вопрос тогда - зачем ты это пишешь, если, как сам же пишешь, оно не относится к вопросу? :-))) Ладно, проехали, неважно.

 

SergeS · 16.08.2014
Эти настройки не нужны для работы фотостанции.

Они вообще не понятно кому нужны :lol:

p.s.

Видимо "хомячкам" кто настраивает роутер из web интерфейса synology

 

Да, похоже. Спасибо, твой совет мне помог.

alexejnic · 18.08.2014

По своей сути PhotoStation это набор PHP скриптов лежащий в папке web. Просто обыкновенный сайт И разделить доступ к разным папкам в web директории по http и https не получиться.

sidor_ii · 18.08.2014
1) как сделать, что бы PhotoStation НЕ работала по простому http (без s)?

2) как сделать, что бы PhotoStation работала по https?

 

п.с. У меня динамика с ddns от no-ip.com, жалоб вроде нет особых, все работает.

Думаю можно сделать перенаправление с http на https с помощю файла .htaccess который надо положить в корень web

 

содержания типа такого:

AddDefaultCharset UTF-8

RewriteEngine On

Options +FollowSymLinks

RewriteCond %{HTTP_HOST} ^xxx.xxx.xxx.xxx/photo(.*)

RewriteRule ^(.*)$ https://xxx.xxx.xxx.xxx/photo/$1 [R=301,L]

 

или такого:

 

AddDefaultCharset UTF-8

RewriteEngine On

Options +FollowSymLinks

RewriteCond %{HTTP_HOST} ^photo.pupkin.ru(.*)

RewriteRule ^(.*)$ https://photo.pupkin.ru/photo/$1 [R=301,L]

 

но надо пробовать, точно не уверен. ( адаптировав под no-ip )

SergeS · 22.08.2014
Думаю можно сделать перенаправление с http на https с помощю файла .htaccess который надо положить в корень web

 

содержания типа такого:

AddDefaultCharset UTF-8

RewriteEngine On

Options +FollowSymLinks

RewriteCond %{HTTP_HOST} ^xxx.xxx.xxx.xxx/photo(.*)

RewriteRule ^(.*)$ https://xxx.xxx.xxx.xxx/photo/$1 [R=301,L]

 

или такого:

 

AddDefaultCharset UTF-8

RewriteEngine On

Options +FollowSymLinks

RewriteCond %{HTTP_HOST} ^photo.pupkin.ru(.*)

RewriteRule ^(.*)$ https://photo.pupkin.ru/photo/$1 [R=301,L]

 

но надо пробовать, точно не уверен. ( адаптировав под no-ip )

 

Спасибо, приеду из отпуска ;-) - попробую...

SergeS · 22.08.2014
По своей сути PhotoStation это набор PHP скриптов лежащий в папке web. Просто обыкновенный сайт И разделить доступ к разным папкам в web директории по http и https не получиться.

Эта логика мне не совсем понятна... Ну dsm ведь тоже по сути просто сайт, но ведь там разработчики предусмотрели редирект на хттпс. Да и воюще - не хочещь ли ты сказать, что на рнр нельзя отдичить по хттр ты зашел или по хттпс? ;-) ты шутишь?

SergeS · 22.08.2014
По своей сути PhotoStation это набор PHP скриптов лежащий в папке web. Просто обыкновенный сайт И разделить доступ к разным папкам в web директории по http и https не получиться.

Эта логика мне не совсем понятна... Ну dsm ведь тоже по сути просто сайт, но ведь там разработчики предусмотрели редирект на хттпс. Да и воюще - не хочещь ли ты сказать, что на рнр нельзя отдичить по хттр ты зашел или по хттпс? ;-) ты шутишь?

Imperator · 22.08.2014

А что мешает не прокидывать на роутере 80 порт? Или интересует обсуждение, а не результат?

polanat · 23.08.2014

Так в том то и дело что автор это даже и не рассматривает по причине наличия своего сайта:

 

"Порт 80 - конечно проброшен, и сам сайт (его корень) - работает по http, и я не хочу это ломать, следовательно - проброс 80 порта убирать не хочу." - текст автора

 

PS Ну и обсуждение, я так понимаю, тоже интересует ;)

 

SergeS · 25.08.2014
А что мешает не прокидывать на роутере 80 порт? Или интересует обсуждение, а не результат?

 

То, что есть на вебсайте другие места, кроме фотостанции, куда доступ должен быть нешифрован. Ну и обсуждение конечно тоже интересует, а уж если результат будет...

anton5000 · 17.07.2017
Эти настройки не нужны для работы фотостанции.

Они вообще не понятно кому нужны :lol:

p.s.

Видимо "хомячкам" кто настраивает роутер из web интерфейса synology

 

Объясните, пожалуйста, подробнее, почему неправильно настраивать роутер через web-интерфейс DSM? Или, другими словами, пробрасывать порты на роутере через UPnP от DSM?

Я пробовал прописывать Forward Rules на роутере руками - это долго и нудно, и теряется "кайф" от управления DSM, поэтому как раз остановился на таком методе настройки роутера... (не вижу разницы в конечном результате)

 

 

 

Что - никак? Никого не заботит, что пароль на http не шифруется и кто угодно может его видеть? Я немного удивлен :-)))

Простите, кто угодно это кто? Ваши домашние? Это они хотят хакернуть Вашу фотоколлекцию???

 

Объясните, пожалуйста, этот момент по матчасти кто-нибудь подробнее - в какой момент начинает работать HTTPS - после ввода логина и пароля или до этого? То есть, в чём основная опасность работы с Photostation по HTTP снаружи - в том, что при авторизации могут украсть мой пароль администратора для входа? И кто может украсть пароль: кто-то, подключенный к моей локалке (типа кто-то из домашних, как сказано), или кто-то из внешней сети?

 

 

Заранее спасибо за содержательные ответы.

SergeS · 19.07.2017
Объясните, пожалуйста, подробнее, почему неправильно настраивать роутер через web-интерфейс DSM? Или, другими словами, пробрасывать порты на роутере через UPnP от DSM?

Я пробовал прописывать Forward Rules на роутере руками - это долго и нудно, и теряется "кайф" от управления DSM, поэтому как раз остановился на таком методе настройки роутера... (не вижу разницы в конечном результате)

 

Ну почему неправильно - настраивайте, если вас устраивает, тут кому как нравится...

Я могу рассказать, почему лично я перестал проброс портов делать через upnp от dsm.

Просто насы у меня живут гораздо дольше чем роутеры, самому старому моему насу уже семь лет, роутеров за это время поменялось ну как минимум три (при чем как минимум два из них жили подолгу с принципиально разными прошивками), какое-то время я жил с двумя роутерами один за другим. При этом оказывается гораздо удобнее все настройки роутера (ведь это не только порт-форвардинг) делать таки на самом роутере, да и не все роутеры поддерживаются DSM. Да и если говорить только о настройках порт-форвардинга - тоже не всегда все просто, например у меня два наса, оба доступны из интернета, по разным портам разные сервисы, гораздо проще это настраивать в одном месте, на роутере, чем скакать из одного наса в другой. К тому же у меня лично был как минимум один случай (с Netgear роутером) когда попытка его отконфигурировать через upnp привела к полной потере существующей конфигурации всех остальных настроек, собственно это и было последней каплей, после чего я перестал пользоваться настройкой порт форвардинга от DSM.

 

Объясните, пожалуйста, этот момент по матчасти кто-нибудь подробнее - в какой момент начинает работать HTTPS - после ввода логина и пароля или до этого? То есть, в чём основная опасность работы с Photostation по HTTP снаружи - в том, что при авторизации могут украсть мой пароль администратора для входа? И кто может украсть пароль: кто-то, подключенный к моей локалке (типа кто-то из домашних, как сказано), или кто-то из внешней сети?

 

Я не то, что бы сильно большой специалист, но попробую, и пусть меня поправят, если что не так скажу...

 

https начинает работать с самого начала сессии, с момента первого подключения к серверу. При этом шифруется весь трафик между браузером и сервером, включая URL строку, кроме самого доменного имени (или IP) сервера.

То есть, если вы заходите на сайт например так: https://sergeskor.no-ip.org/photo/#!Albums/album_5075626c6963/album_5075626c69632f32303137, то https://sergeskor.no-ip.org зашифровано не будет, а все остальное - будет. При этом шифрование будет независимо от того, есть у вас сертификат безопасности или нет, сертификат подтверждает то, что сервер - именно тот сервер, к которому вы обращаетесь по доменному имени, а не его подделка, выглядящая точно так же.

 

Основная опасность http (без "s") при подключении снаружи вашей локалки - это то, что трафик не шифруется и любой транзитный узел на пути подключения легко может видеть ваш пароль, ваше имя, да и, к примеру, все ваши фотки, которые вы сами смотрите, даже без знания пароля. Теоретически конечно сама фотостанция, на своем уровне, может шифровать пароли и имена (но не http трафик, не сами фотки ), но, как я подозреваю, она таки этого не делает, а если и делает - то там заведомо более слабое шифрование, чем в https. Ну а если у вас еще и сертификат есть - так и подделать ваш сайт (для того что бы получить те же пароли путем атаки "злодей посередине" :-) ) - тоже не получится, хотя я и не думаю, что кто-то специально будет вам устраивать такую атаку, что бы получить пароли от вашего сайта с фотками...

 

Украсть нешифрованные пароли (кроме транзитных узлов) теоретически еще могут те, кто сидят в одном switching domain (коммуникационном домене?) с этими транзитными узлами, например - если вы дома используете не switch, а хаб, то любой сидящий на этом хабе будет видеть весь транзитный трафик, проходящий через этот хаб. Ну и аналогично с любым транзитным узлом, если он тоже подключен не через switch, а через хаб. Но в связи с повсеместным вытеснением хабов свичами - такая ситуация довольно маловероятна, ну, разве что кроме случая злоумышленной замены какого-нибудь свича где-то на транзитном узле или у вас дома.

 

Еще надо добавить, что нешифрованный трафик с легкостью могут также видеть представители спецслужб (привет товарищу майору!). Впрочем как и шифрованный трафик, но вот расшифровать его просто так уже не получится, и если вы не заинтересовали спецслужбы каким-то особым своим поведением, то вряд ли они будут этим заморачиваться с вами.

xvss · 19.07.2017
как заставить PhotoStation работать исключительно по https протоколу?
-- в самой фотостанции - Настройки - Основные - промотай в самый низ и там настройка: "Автоматически перенаправлять подключения HTTP на HTTPS"
SergeS · 19.07.2017
-- в самой фотостанции - Настройки - Основные - промотай в самый низ и там настройка: "Автоматически перенаправлять подключения HTTP на HTTPS"

 

Спасибо, конечно, но за три года уже разобрался :-)

xvss · 20.07.2017
за три года уже разобрался
-- ухх ты ж... Ничего себе промахнулся.. Виноват, буду должен :) Придется как-то реабилитироваться ;)

 

в какой момент начинает работать HTTPS - после ввода логина и пароля или до этого?

https://habrahabr.ru/post/188042/

https://habrahabr.ru/post/191954/

 

Numizmat · 21.07.2017
Объясните, пожалуйста, подробнее, почему неправильно настраивать роутер через web-интерфейс DSM? Или, другими словами, пробрасывать порты на роутере через UPnP от DSM?

Я пробовал прописывать Forward Rules на роутере руками - это долго и нудно, и теряется "кайф" от управления DSM, поэтому как раз остановился на таком методе настройки роутера... (не вижу разницы в конечном результате)

 

Я тоже не видел разницы. Но однажды после отключения электричества мой роутер и NAS выключились, а потом включились. И в роутере TP-LINK никакие правила UPNP не сохранились, на страничке с ними было пусто. А я был далеко и на NAS зайти никак не мог до самого возвращения домой. Ну и на других форумах мне не советовали пользоваться upnp, т.к. во многих роутерах есть дыра, которая позволяет при включенном upnp получать контроль над устройством. Так что пробросил порты вручную, потратив минут 10 и пользуюсь уже несколько месяцев. Соглашусь, что гораздо приятнее через DSM все настроить в пару кликов, но в моем случае это оказалось только внешне удобно.

Imperator · 25.07.2017

Я так FTP так работе поднимал - всё воткнуто в бесперебойник и не выключается, но несколько раз проброс портов пропадал. Сделал руками и забыл о проблеме. Все же UPNP - это для разовых кратковременных пробросов, а не для работы на постоянной основе.

xvss · 25.07.2017

Если бы проблема была только в не совсем стабильной работе UPnP - в домашних условиях это еще можно пережить. Но тут дело идет о безопасности:

https://blog.kaspersky.ru/upnp-trouble/15008/

https://www.howtogeek.com/122487/htg-explai...-security-risk/

https://xakep.ru/2017/04/13/wordpress-under-routers-attack/

Этого более чем достаточно чтобы не использовать UPnP. Лучше один раз настроить и жить спокойно.