SSL auf der JBMedia Website

Benutzeravatar
BooosesThaSnipper
Beiträge: 323
Registriert: Mi 24. Feb 2016, 15:10

Do 23. Mär 2017, 17:35

Hi JBMedia,

ist es angedacht die Website mit einem Zertifikat abzusichern? Gerade wenn man sich im Forum einloggt, gehen die Logindaten im Klartext durchs Netz.
Nebeneffekt wäre, wenn ihr eh SSL verwendet würdet und direkt http nach https umleitet steigt ihr auch in Google in den Treffern nach oben, da dort SSL Websiten bevorzugt werden.

Grüße Markus
donald24
Beiträge: 14
Registriert: Sa 4. Jun 2016, 10:41

Mi 6. Sep 2017, 17:56

Imho fehlt nicht nur SSL auf der Webpage sondern auch auf dem Air-Manager.

Heutzutage gibt ja doch jeder mit Portfreigabe sein Air-Manager frei. Der eingebaute DNS-Service motiviert die Anwender auch noch dazu.
Ich will nicht wissen, wieviele AirManager unverschlüsselt im Internet stehen.

Man kann sich mit einem ReverseProxy natürlich nen SSL-Access zusammenbasteln, dennoch sollte es wirklich einfacher für den normalen Anwender sein.

Selbst dann (bei SSL über ReverseProxy) verschluckt sich z.B. Chrome an unsicheren Skripts, die von jbmedia.eu über plain-http nachgeladen werden, und man muss bestätigen, diese Webpage wirklich zu öffnen.

Ich finde, man sollte die Sicherheitsaspekte eines solchen Gerätes bei jbmedia mal re-evaluieren, und eine entsprechende Lösung einbauen.

Wäre super!
2712
Beiträge: 1317
Registriert: Fr 12. Aug 2016, 07:20
Wohnort: Österreich

Do 7. Sep 2017, 08:05

dem schließe ich mich vorbehaltlos an, vor allem wenn man bedenkt, dass nach Einführung des Alexa Skills (hoffentlich bald :D ) noch mehr LMair in der Cloud stehen werden...
LMAir&2 Extender, 3 X RM3mini, Harmony Elite & 3 X Companion, Deconz Zigbee Gateway, piVCCU, Node-Red (für Anbindung Harmony, Homematic, Broadlink, Dreamscreen, Zigbee), ettliche Aktoren, 8 Alexas, Fritzbox 7590, 7490, 7560, 2 X 4040, 1 X 450 :D
Benutzeravatar
jbmedia
Administrator
Beiträge: 4446
Registriert: Mi 17. Feb 2016, 13:42

Do 7. Sep 2017, 12:46

BooosesThaSnipper hat geschrieben:
Do 23. Mär 2017, 17:35
ist es angedacht die Website mit einem Zertifikat abzusichern?
Grüße Markus
Wir sind dabei, eine neue Webseite zu entwickeln. Diese sollte eigentlich schon längst online sein. Man kennt das ja. :) Die neue Seite wird per HTTPS angebunden. Auch ein neuer Shop wird enthalten sein. Wobei der aktuelle Shop natürlich bereits SSL verschlüsselt ist.
Imho fehlt nicht nur SSL auf der Webpage sondern auch auf dem Air-Manager.
Eine einfache Möglichkeit, sofort SSL zu nutzen, ist VPN zu aktivieren. Die Fritz!Box, viele weitere Router und NAS Systeme erlauben es, VPN mit wenigen Klicks zu aktivieren. (Das soll nicht heißen, dass nicht auch eine native Lösung angeboten werden wird.)
Wir wünschen viel Spaß mit den Produkten und einen erfolgreichen Tag! Ihr jbmedia Team :)

2712
Beiträge: 1317
Registriert: Fr 12. Aug 2016, 07:20
Wohnort: Österreich

Do 7. Sep 2017, 16:05

Eine einfache Möglichkeit, sofort SSL zu nutzen, ist VPN zu aktivieren. Die Fritz!Box, viele weitere Router und NAS Systeme erlauben es, VPN mit wenigen Klicks zu aktivieren. (Das soll nicht heißen, dass nicht auch eine native Lösung angeboten werden wird.)
Das ist zwar richtig, aber aus vielen Netzwerken werden die VPN Zugänge (Ports) leider blockiert. Deshalb wäre eine native SSL Lösung die weitaus bessere Variante...
LMAir&2 Extender, 3 X RM3mini, Harmony Elite & 3 X Companion, Deconz Zigbee Gateway, piVCCU, Node-Red (für Anbindung Harmony, Homematic, Broadlink, Dreamscreen, Zigbee), ettliche Aktoren, 8 Alexas, Fritzbox 7590, 7490, 7560, 2 X 4040, 1 X 450 :D
Benutzeravatar
BooosesThaSnipper
Beiträge: 323
Registriert: Mi 24. Feb 2016, 15:10

Mo 23. Okt 2017, 11:01

Ein Schritt in Richtung Sicherheit!!! Top!

Hab gerade gemerkt das es hier nun auch SSL gibt :-)
https://www.jbmedia.de/forum

SSL v2 und v3 abgeschaltet und nur TLS aktiviert. Alles richtig gemacht. Wenn man dann noch die Cipher Suiten "TLS_RSA_WITH_3DES_EDE_CBC_SHA" raus nimmt, dann gibt es auch keinen unsicheren Fallback. Wobei das jetzt wirklich Kritik auf höchsten Niveau ist. Falls ihr an die Sache noch ran geht, schaut euch auch mal eventuell noch HSTS an.

Jetzt noch die Möglichkeit selbst Zertifikate auf dem LMA zu hinterlegen und das ganze wird dann so auch sicherer.

Logging auch noch per SSL Verschlüsselt übertragen, hier fehlt mir übrigens der Hinweis im Studio, das das Passwort aktuell im Klartext zu euch geschickt wird und direkt in der URL hinterlegt ist.

Weiter So!

PS: Eine IPv6 Adresse fehlt euch noch :-)
Simon
Beiträge: 976
Registriert: Sa 19. Mär 2016, 20:03

Mo 23. Okt 2017, 20:00

Allerdings muss ich mich seit der Umstellung jedes Mal neu anmelden, obwohl ich nix verändert hatte (weder im Browser noch im Profil). Die autom. Anmeldefunktion ist aktiviert, dennoch jedes Mal eine komplette Neuanmeldung.
Benutzeravatar
BooosesThaSnipper
Beiträge: 323
Registriert: Mi 24. Feb 2016, 15:10

Mo 23. Okt 2017, 20:05

Lösch mal den Browser Cache und alle Cookies die von JBmedia sind und versuchs dann nochmal, vielleicht hilft das ja.
Simon
Beiträge: 976
Registriert: Sa 19. Mär 2016, 20:03

Mo 23. Okt 2017, 21:46

Brachte keinen Erfolg.
Nutze derzeit den FF 56.0 64 Bit
spy-1
Beiträge: 295
Registriert: Mo 7. Mär 2016, 10:51

Di 24. Okt 2017, 07:09

Ist bei mir das gleiche.
Immer wieder Neuanmeldung.
Antworten