Ergebnis 1 bis 5 von 5
  1. #1
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.221
    Blog-Einträge
    20

    Standard Schutz von 3rd Party Applications

    3rd Pary Appl sind ja etwas wunderbares, man kann der DS fast alles damit beibringen. Mein Problem/Frage ist die Authentifizierung seitens des DS-Managers. Das Verzeichnis mit den 3rd Party Appl lässt sich ja direkt aufrufen unter Umgehung des DS-Managers. Solange die DS nicht im Internet hängt ist das ja kein Problem, aber so richtig "cool" ist die DS erst wenn der DS-Manager auch übers Internet erreichbar ist.

    Ich habe mir überlegt, wie ich die PHP-Scripte gegen den direkten Aufruf ohne DS-Manager schützen könnte. Dabei habe ich gesehen, dass die DS beim Einloggen ein Cookie mit einer id setzt. Auf dieses Cookie kann man dann in den Scripten zugreifen, um zu prüfen ob der User sich eingeloggt hat. Das Problem ist nur, dass ich den Wert von id nicht verifizieren kann. Solange ich ein Cookie mit id sehe ist der User für PHP eingeloggt.

    Meine Frage wäre daher: Speichert der DS-Manager den Wert der Cookie Variable id in einer Datenbank oder einem File? So könnte man verifizieren ob man eine gültige id via Cookie erhalten hat. Damit wären die 3rd Party Appl ziemlich zuverlässig gegen einen Aufruf ohne erfolgreiche Auth am DS-Managers geschützt.

    Gruss

    tobi
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  2. #2
    Moderator
    Registriert seit
    12.07.2007
    Beiträge
    9.858

    Standard

    Hier hatten wir diese Diskussion auch schon mal: http://www.synology-forum.de/showthread.html?t=2262
    Disk Station 1511+ - DSM 4.3 - 3776
    3x3TB Western Digital WD30EZRX, Raid 5
    1x1TB
    Western Digital WD10EADS, Basic

    Disk Station 212+
    - DSM 4.3 - 3776
    2x1TB Western Digital WD10EADS, Basic

  3. #3
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.945
    Blog-Einträge
    25

    Standard

    Noch besser ist, alles abzublocken, was von draußen kommt. siehe hier.

    Mein 3rd-party-apps brauchen oft einen 'root'-Zugang zu den Verzeichnissen. Das geht via PHP und den sys-Apache recht gut, ist aber ein riesiges Sicherheitsloch, wenn man das von außerhalb macht.

    Da die Skripte weder cross-site-scripting abfangen, noch im PHP-Code Sicherheitsabfragen enthalten, weil sie ja nicht für den Aufruf von außen gedacht sind, möchte ich allen ganz dringend empfehlen, die Tür nach draußen für den Disk Station Manager nicht aufzumachen, wenn er 3rd-party-Skripte enthält, die ich veröffentlicht habe und die auf Dateien schreibend zugreifen können.

    Aber da eh alles auf eure Kappe geht, muss es mich auch nicht weiter jucken

    itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  4. #4
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.221
    Blog-Einträge
    20

    Standard

    Zitat Zitat von itari Beitrag anzeigen
    Noch besser ist, alles abzublocken, was von draußen kommt. siehe hier.
    Genau so habe ich es jetzt auch gemacht. Scheint mir der beste Weg zu sein.

    Gruss

    tobi
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  5. #5
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.945
    Blog-Einträge
    25

    Standard

    Zitat Zitat von jahlives Beitrag anzeigen
    Meine Frage wäre daher: Speichert der DS-Manager den Wert der Cookie Variable id in einer Datenbank oder einem File? So könnte man verifizieren ob man eine gültige id via Cookie erhalten hat. Damit wären die 3rd Party Appl ziemlich zuverlässig gegen einen Aufruf ohne erfolgreiche Auth am DS-Managers geschützt.
    In der offiziellen 3rd-party-apps-Anleitung von Synology (*guck*) ist dazu ein kleines C-Programm-Beispiel abgedruckt.

    itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

Ähnliche Themen

  1. 3rd-party-apps - Anleitung
    Von itari im Forum Andere 3rd Party Anwendungen
    Antworten: 45
    Letzter Beitrag: 09.04.2014, 19:32
  2. Certification 3rd-party-apps
    Von itari im Forum Andere 3rd Party Anwendungen
    Antworten: 145
    Letzter Beitrag: 31.03.2011, 21:12
  3. 3rd Party Application Manager
    Von jahlives im Forum Andere 3rd Party Anwendungen
    Antworten: 62
    Letzter Beitrag: 12.04.2010, 12:26
  4. 3rd Party Filemanager
    Von .:@rpy:. im Forum Andere 3rd Party Anwendungen
    Antworten: 17
    Letzter Beitrag: 03.09.2008, 20:38
  5. 3rd-party´s
    Von Daniela im Forum Andere 3rd Party Anwendungen
    Antworten: 7
    Letzter Beitrag: 08.08.2008, 22:26

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •