Schutz von 3rd Party Applications

Status
Für weitere Antworten geschlossen.

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
3rd Pary Appl sind ja etwas wunderbares, man kann der DS fast alles damit beibringen. Mein Problem/Frage ist die Authentifizierung seitens des DS-Managers. Das Verzeichnis mit den 3rd Party Appl lässt sich ja direkt aufrufen unter Umgehung des DS-Managers. Solange die DS nicht im Internet hängt ist das ja kein Problem, aber so richtig "cool" ist die DS erst wenn der DS-Manager auch übers Internet erreichbar ist.

Ich habe mir überlegt, wie ich die PHP-Scripte gegen den direkten Aufruf ohne DS-Manager schützen könnte. Dabei habe ich gesehen, dass die DS beim Einloggen ein Cookie mit einer id setzt. Auf dieses Cookie kann man dann in den Scripten zugreifen, um zu prüfen ob der User sich eingeloggt hat. Das Problem ist nur, dass ich den Wert von id nicht verifizieren kann. Solange ich ein Cookie mit id sehe ist der User für PHP eingeloggt.

Meine Frage wäre daher: Speichert der DS-Manager den Wert der Cookie Variable id in einer Datenbank oder einem File? So könnte man verifizieren ob man eine gültige id via Cookie erhalten hat. Damit wären die 3rd Party Appl ziemlich zuverlässig gegen einen Aufruf ohne erfolgreiche Auth am DS-Managers geschützt.

Gruss

tobi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Noch besser ist, alles abzublocken, was von draußen kommt. siehe hier.

Mein 3rd-party-apps brauchen oft einen 'root'-Zugang zu den Verzeichnissen. Das geht via PHP und den sys-Apache recht gut, ist aber ein riesiges Sicherheitsloch, wenn man das von außerhalb macht.

Da die Skripte weder cross-site-scripting abfangen, noch im PHP-Code Sicherheitsabfragen enthalten, weil sie ja nicht für den Aufruf von außen gedacht sind, möchte ich allen ganz dringend empfehlen, die Tür nach draußen für den Disk Station Manager nicht aufzumachen, wenn er 3rd-party-Skripte enthält, die ich veröffentlicht habe und die auf Dateien schreibend zugreifen können.

Aber da eh alles auf eure Kappe geht, muss es mich auch nicht weiter jucken :D

itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Meine Frage wäre daher: Speichert der DS-Manager den Wert der Cookie Variable id in einer Datenbank oder einem File? So könnte man verifizieren ob man eine gültige id via Cookie erhalten hat. Damit wären die 3rd Party Appl ziemlich zuverlässig gegen einen Aufruf ohne erfolgreiche Auth am DS-Managers geschützt.

In der offiziellen 3rd-party-apps-Anleitung von Synology (*guck*) ist dazu ein kleines C-Programm-Beispiel abgedruckt.

itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat