Hi JBMedia,
ist es angedacht die Website mit einem Zertifikat abzusichern? Gerade wenn man sich im Forum einloggt, gehen die Logindaten im Klartext durchs Netz.
Nebeneffekt wäre, wenn ihr eh SSL verwendet würdet und direkt http nach https umleitet steigt ihr auch in Google in den Treffern nach oben, da dort SSL Websiten bevorzugt werden.
Grüße Markus
SSL auf der JBMedia Website
Imho fehlt nicht nur SSL auf der Webpage sondern auch auf dem Air-Manager.
Heutzutage gibt ja doch jeder mit Portfreigabe sein Air-Manager frei. Der eingebaute DNS-Service motiviert die Anwender auch noch dazu.
Ich will nicht wissen, wieviele AirManager unverschlüsselt im Internet stehen.
Man kann sich mit einem ReverseProxy natürlich nen SSL-Access zusammenbasteln, dennoch sollte es wirklich einfacher für den normalen Anwender sein.
Selbst dann (bei SSL über ReverseProxy) verschluckt sich z.B. Chrome an unsicheren Skripts, die von jbmedia.eu über plain-http nachgeladen werden, und man muss bestätigen, diese Webpage wirklich zu öffnen.
Ich finde, man sollte die Sicherheitsaspekte eines solchen Gerätes bei jbmedia mal re-evaluieren, und eine entsprechende Lösung einbauen.
Wäre super!
Heutzutage gibt ja doch jeder mit Portfreigabe sein Air-Manager frei. Der eingebaute DNS-Service motiviert die Anwender auch noch dazu.
Ich will nicht wissen, wieviele AirManager unverschlüsselt im Internet stehen.
Man kann sich mit einem ReverseProxy natürlich nen SSL-Access zusammenbasteln, dennoch sollte es wirklich einfacher für den normalen Anwender sein.
Selbst dann (bei SSL über ReverseProxy) verschluckt sich z.B. Chrome an unsicheren Skripts, die von jbmedia.eu über plain-http nachgeladen werden, und man muss bestätigen, diese Webpage wirklich zu öffnen.
Ich finde, man sollte die Sicherheitsaspekte eines solchen Gerätes bei jbmedia mal re-evaluieren, und eine entsprechende Lösung einbauen.
Wäre super!
dem schließe ich mich vorbehaltlos an, vor allem wenn man bedenkt, dass nach Einführung des Alexa Skills (hoffentlich bald ) noch mehr LMair in der Cloud stehen werden...
LMAir&2 Extender, 3 X RM3mini, Harmony Elite & 3 X Companion, Deconz Zigbee Gateway, piVCCU, Node-Red (für Anbindung Harmony, Homematic, Broadlink, Dreamscreen, Zigbee), ettliche Aktoren, 8 Alexas, Fritzbox 7590, 7490, 7560, 2 X 4040, 1 X 450
Wir sind dabei, eine neue Webseite zu entwickeln. Diese sollte eigentlich schon längst online sein. Man kennt das ja. Die neue Seite wird per HTTPS angebunden. Auch ein neuer Shop wird enthalten sein. Wobei der aktuelle Shop natürlich bereits SSL verschlüsselt ist.BooosesThaSnipper hat geschrieben: ↑Do 23. Mär 2017, 17:35ist es angedacht die Website mit einem Zertifikat abzusichern?
Grüße Markus
Eine einfache Möglichkeit, sofort SSL zu nutzen, ist VPN zu aktivieren. Die Fritz!Box, viele weitere Router und NAS Systeme erlauben es, VPN mit wenigen Klicks zu aktivieren. (Das soll nicht heißen, dass nicht auch eine native Lösung angeboten werden wird.)Imho fehlt nicht nur SSL auf der Webpage sondern auch auf dem Air-Manager.
Wir wünschen viel Spaß mit den Produkten und einen erfolgreichen Tag! Ihr jbmedia Team
Das ist zwar richtig, aber aus vielen Netzwerken werden die VPN Zugänge (Ports) leider blockiert. Deshalb wäre eine native SSL Lösung die weitaus bessere Variante...Eine einfache Möglichkeit, sofort SSL zu nutzen, ist VPN zu aktivieren. Die Fritz!Box, viele weitere Router und NAS Systeme erlauben es, VPN mit wenigen Klicks zu aktivieren. (Das soll nicht heißen, dass nicht auch eine native Lösung angeboten werden wird.)
LMAir&2 Extender, 3 X RM3mini, Harmony Elite & 3 X Companion, Deconz Zigbee Gateway, piVCCU, Node-Red (für Anbindung Harmony, Homematic, Broadlink, Dreamscreen, Zigbee), ettliche Aktoren, 8 Alexas, Fritzbox 7590, 7490, 7560, 2 X 4040, 1 X 450
- BooosesThaSnipper
- Beiträge: 323
- Registriert: Mi 24. Feb 2016, 15:10
Ein Schritt in Richtung Sicherheit!!! Top!
Hab gerade gemerkt das es hier nun auch SSL gibt
https://www.jbmedia.de/forum
SSL v2 und v3 abgeschaltet und nur TLS aktiviert. Alles richtig gemacht. Wenn man dann noch die Cipher Suiten "TLS_RSA_WITH_3DES_EDE_CBC_SHA" raus nimmt, dann gibt es auch keinen unsicheren Fallback. Wobei das jetzt wirklich Kritik auf höchsten Niveau ist. Falls ihr an die Sache noch ran geht, schaut euch auch mal eventuell noch HSTS an.
Jetzt noch die Möglichkeit selbst Zertifikate auf dem LMA zu hinterlegen und das ganze wird dann so auch sicherer.
Logging auch noch per SSL Verschlüsselt übertragen, hier fehlt mir übrigens der Hinweis im Studio, das das Passwort aktuell im Klartext zu euch geschickt wird und direkt in der URL hinterlegt ist.
Weiter So!
PS: Eine IPv6 Adresse fehlt euch noch
Hab gerade gemerkt das es hier nun auch SSL gibt
https://www.jbmedia.de/forum
SSL v2 und v3 abgeschaltet und nur TLS aktiviert. Alles richtig gemacht. Wenn man dann noch die Cipher Suiten "TLS_RSA_WITH_3DES_EDE_CBC_SHA" raus nimmt, dann gibt es auch keinen unsicheren Fallback. Wobei das jetzt wirklich Kritik auf höchsten Niveau ist. Falls ihr an die Sache noch ran geht, schaut euch auch mal eventuell noch HSTS an.
Jetzt noch die Möglichkeit selbst Zertifikate auf dem LMA zu hinterlegen und das ganze wird dann so auch sicherer.
Logging auch noch per SSL Verschlüsselt übertragen, hier fehlt mir übrigens der Hinweis im Studio, das das Passwort aktuell im Klartext zu euch geschickt wird und direkt in der URL hinterlegt ist.
Weiter So!
PS: Eine IPv6 Adresse fehlt euch noch
- BooosesThaSnipper
- Beiträge: 323
- Registriert: Mi 24. Feb 2016, 15:10
Lösch mal den Browser Cache und alle Cookies die von JBmedia sind und versuchs dann nochmal, vielleicht hilft das ja.