Buon pomeriggio,
ho installato Ubuntu serser su un pc al quale ho aggiunto ownCloud server.
Non ho un IP statico pubblico ma nemmeno mi serve in quanto uso il cloud solo in locale.
In pratica il server è collegato tramite lan al modem/router che uso anche per navigare il internet, tramite il wireless sono collegati 2 pc e un android.
Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso creare un certificato SSL per collegarmi al cloud con https?
Buona festa
grazie
andrea
On 2016-11-01 12:26, Andrea Congiu wrote:
Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso creare un certificato SSL per collegarmi al cloud con https?
Dipende dal tuo threat model. Da chi cerchi di difenderti? Quanto sono preziosi i dati scambiati con il server? Nella stragrande maggioranza dei casi direi che non è necessario usare HTTPS in locale.
Immagino che la tua rete WiFi sia WPA2-PSK protetta e che la chiave pre-shared abbastanza difficile da indovinare. Questo dovrebbe proteggerti da vicini troppo invadenti.
Se un tuo partner/coinquilino/ospite è sulla stessa rete WiFi (cioè è in possesso della password WiFi) allora non sarebbe troppo difficile loggare e decifrare il tuo traffico. Se questo è una situazione vorresti evitare, allora avrrebbe la pena di usare HTTPS.
Nei scenari dove sei un target di alto valore per qualche ente (servizi segreti, ex amante tradita che lavora per il tuo provider e ha accesso a delle backdoor nel tuo router, ...) allora sarebbe saggio assumere che la tua rete locale non è veramente locale, e aggiungendo un altro strato di sicurezza non sarebbe sbagliato.
Se fosse completamente indolora abilitare e usare HTTPS per un server in locale, ti consiglierei di farlo. Ma se le tue esigenze di sicurezza sono quelle di un pinco pallino qualunque (senza offesa!) allora forse non vale la pena di farlo...
I miei 2¢, Thomas
Ciao e grazie per le risposte, anche a Daniele.
Il mio modem/ruoter ha una password di una trentina di caratteri casuali compresi quelli speciali, nessuno è in possesso della password e i dati non contengono nulla di sensibile.
Ho comunque creato un certificato autofirmato e funziona parzialmente, ogni volta che mi collego mi dice che il sito non è sicuro, e se metto l'eccezione funziona ma la seccatura che la spunta per l'eccezione permanente non è abilitata.
Grazie a tutti
saluti
andrea
Il 01/11/2016 15:14, Thomas Pircher ha scritto:
On 2016-11-01 12:26, Andrea Congiu wrote:
Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso creare un certificato SSL per collegarmi al cloud con https?
Dipende dal tuo threat model. Da chi cerchi di difenderti? Quanto sono preziosi i dati scambiati con il server? Nella stragrande maggioranza dei casi direi che non è necessario usare HTTPS in locale.
Immagino che la tua rete WiFi sia WPA2-PSK protetta e che la chiave pre-shared abbastanza difficile da indovinare. Questo dovrebbe proteggerti da vicini troppo invadenti.
Se un tuo partner/coinquilino/ospite è sulla stessa rete WiFi (cioè è in possesso della password WiFi) allora non sarebbe troppo difficile loggare e decifrare il tuo traffico. Se questo è una situazione vorresti evitare, allora avrrebbe la pena di usare HTTPS.
Nei scenari dove sei un target di alto valore per qualche ente (servizi segreti, ex amante tradita che lavora per il tuo provider e ha accesso a delle backdoor nel tuo router, ...) allora sarebbe saggio assumere che la tua rete locale non è veramente locale, e aggiungendo un altro strato di sicurezza non sarebbe sbagliato.
Se fosse completamente indolora abilitare e usare HTTPS per un server in locale, ti consiglierei di farlo. Ma se le tue esigenze di sicurezza sono quelle di un pinco pallino qualunque (senza offesa!) allora forse non vale la pena di farlo...
I miei 2¢, Thomas _______________________________________________ http://lists.lugbz.org/cgi-bin/mailman/listinfo/lugbz-list
On 2016-11-01 15:47, Andrea Congiu wrote:
ogni volta che mi collego mi dice che il sito non è sicuro, e se metto l'eccezione funziona ma la seccatura che la spunta per l'eccezione permanente non è abilitata.
Riferivo anche a questo quando dicevo che un certificato locale non è senza problemi.
Quello che potresti fare è creare la tua certification authority (CA) locale, ed importare il root certificato nei tuoi computer + android. Poi crei la chiave ed il certificate sign request (CSR) per il tuo cloud server. Infine con il CSR ed la tua CA generi un certificato (CRT) per il tuo cloud server. Questo certificato verrà accettato dai tuoi computer perché si fidono della tua CA.
Non è la cosa più piacevole da fare, e la documentazione di openssl non proprio un piacere da leggere, ma è certamente fattibile.
Th
Il 1 novembre 2016 13:26:36 CET, Andrea Congiu congiu.andr@gmail.com ha scritto:
Tutto funziona, però mi chiedevo, pur lavorando solo in locale ha senso creare un certificato SSL per collegarmi al cloud con https?
Ciao!
Un motivo per cui potrebbe valerne la pena è che se ti trovi ospite di un'altra rete wireless che condivide la stessa classe di indirizzi di casa tua il tuo telefono andrà a cercare l'IP del tuo server casalingo, e se lì ci dovesse essere qualche server web in ascolto questo riceverebbe la tua password. Teoricamente questo potrebbe succedere anche quando sei collegato alla tua rete mobile, ma non credo che usiate le stesse classi di IP con il tuo operatore :-)
Se puoi aggiungere un certificato auto firmato al tuo sistema android (e ancora meglio se puoi farne il "pinning" nella app che usi per sincronizzare i dati) non corri questo rischio.
Ciao, Daniele
--
-
Andrea Congiu -
Daniele Gobbetti -
Thomas Pircher