Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Évolution
  • Catégorie Console de gestion → Console à distance
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version 1.1.0
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Antwan - 22/08/2011
Dernière modification par nipo - 23/08/2011

FS#7522 - Accès administration WAN en HTTPS

Le fw en version 1.1 apporte l’accès au NAS et à l’interface d’admin et donc à divers paramètres sensibles depuis l’extérieur via un port au choix.

Étant donné la sévérité des données accessibles (mot de passe admin permettant à son tour de se connecter, cookies de sessions, paramètres divers, appels téléphoniques, fichiers, etc…), il est souhaitable, même vital, de crypter les données échangées via cet accès.

J’ouvre donc ce ticket pour demander un passage forcé par HTTPS lors des accès WAN à la console d’admin.

Fermée par  nipo
23.08.2011 02:37
Raison de la fermeture :  Doublon
Commentaires de fermeture :  

 FS#4455 

Chef de projet
nipo a commenté le 23.08.2011 00:15

Actuellement, la seule possibilité réalisable pour faire du HTTPS est de mettre un certificat autosigné sur le serveur.

Un certificat autosigné n’apporte aucune sécurité:
- la plupart des gens ne vérifieront pas le hash du certificat serveur et se contenteront de cliquer sur ‘oui’ lors de l’avertissement,
- donc la connexion avec la box ne sera pas plus sure que du plaintext dans le cas d’un man-in-the-middle,
- mais donnera un faux sentiment de sécurité aux néophytes.

En somme, plutot que de faire du “faux” HTTPS, on a préféré laisser explicitement du cleartext.

Antwan a commenté le 23.08.2011 00:34

Challenge pour nos dev adorés qui ont du temps à perdre (en témoigne l’implémentation du client DYNdns des plus facultatives) :

Vous pourriez par exemple mettre une option pour que au choix :
- L’utilisateur puisse upload sa propre paire de clefs signée pour le rDNS personnalisé choisi, avec fallback HTTP si clef invalide;
- ou que la box présente un certificat signé pour la wildcard *.hd.free.fr s’il a custom le DNS avec ceux offerts;
- ou que la box présente un certificat signé pour la wildcard *.fbx.proxad.net le cas échéant;
- ou que l’accès se fasse en HTTP classique s’il passe par le virtual host IP.IP.IP.IP

Bref, de quoi se creuser la tête, mais laisser ça comme ça serait dommage…

Merci en tous cas pour votre travail estival !

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche