HTTPS en 3rd party apps

[daroy]

Ik benader mijn diskstation via een https url met poortnummer 5001. Zo log ik zonder problemen in op mijn nas. Echter wanneer ik een 3rd party app wil openen via de snelkoppeling op het bureaublad, Sonarr bijvoorbeeld, wil hij deze ook openen met een https url terwijl Sonarr niet met SSL draait.

Hoe zorg ik er voor dat 3rd party apps gewoon met een normale http url geopend worden?

[Birdy]

Is dit van buiten af ?

[Briolet]

Ik denk dat je HSTS aan hebt staan. Dit zorgt ervoor dat hij altijd https gebruikt. Dat merk ik b.v. ook bij darkstat die ook niet met https werkt,

Ik start dat altijd via een snelkoppeling op, zodat er nooit een probleem is. Maar vanuit de snelkoppeling in DSM loopt hij ook vast. Als ik in DSM  inlog via een url waar geen HSTS op zit, dan geeft de snelkoppeling wel een http verbinding, ook als ik via https in DSM zit.

Maar dat is precies waar HSTS voor bedoeld is.

NB. Ik werk met reverse proxies, waarbij ik per url de HSTS kan instellen. Het kan zijn dat als je dit in bij de algemene settings aanzet, dit voor alle url's geld.

[daroy]

Is dit van buiten af ?

Van buiten af inderdaad.

Ik denk dat je HSTS aan hebt staan. Dit zorgt ervoor dat hij altijd https gebruikt. Dat merk ik b.v. ook bij darkstat die ook niet met https werkt,

Ik start dat altijd via een snelkoppeling op, zodat er nooit een probleem is. Maar vanuit de snelkoppeling in DSM loopt hij ook vast. Als ik in DSM  inlog via een url waar geen HSTS op zit, dan geeft de snelkoppeling wel ee http verbinding.

Maar dat is precies waar HSTS voor bedoeld is.

NB. Ik werk met reverse proxies, waarbij ik per url de HSTS kan instellen. Het kan zijn dat als je dit in bij de algemene settings aanzet, dit voor alle url's geld.

HSTS staat uit bij mij.

Alle opties onder Network - DSM Settings staan uit trouwens.

[Ben(V)]

Als je binnenkomt met https in plaats van http kun je alleen nog applicaties opstarten die ook https support hebben.
Als ze dat hebben moet je dat ook nog configureren in het "Application Portal"
De meeste applicaties hebben echter helemaal geen support voor https, omdat ze ontworpen zijn om enkel lokaal gebruikt te worden.

Oplossingen zijn ofwel reverse proxy te gebruiken en zo https door de reverse proxy server om te laten zetten in http
Ofwel een VPN verbinding naar je Nas  van buiten af te gebruiken.
Een VPN is uiteraard het verstandigste.

[daroy]

Bedankt voor de uitleg Ben.

Ik heb nog een additionele vraag.

Wanneer ik rechtstreeks naar de url van Sonarr ga, http://mijndiskstation:poortnummer veranderd Chrome dit in https://mijndiskstation:poortnummer. Gebruik ik Internet Explorer om naar http://mijndiskstation:poortnummer kom ik hier wel uit. Enig idee?

[Ben(V)]

Is een chrome tik.

Google wil het beter weten dan de gebruiker zelf.

[daroy]

Thanks, ik heb het kunnen oplossen door in Chrome naar chrome://net-internals/#hsts te gaan en hier bij Delete domain security policies het adres van mijn diskstation in te vullen.

[Briolet]

naar chrome://net-internals/#hsts

Zoals ik al eerder schreef gebruik je waarschijnlijk HSTS. Je kunt dit wel op de nas uitzetten, maar de browser blijft dit doorgaans nog een half jaar onthouden. Hoe lang precies staat in de header van een website. (Zie ook mijn eerdere link naar de wiki)
Dat de browser dit lang onthoudt is juist de essentie van HSTS.

[Ben(V)]

Even een zijstapje.
Je zegt dat het gaat om benadering vanaf het internet.
Heb je dan een port forwarding gemaakt naar de poort(en) van je applicaties zoals Sonarr?

Realiseer je je wel dat de meeste applicaties echt niet gemaakt zijn om aan het internet bloot te stellen en dus vol zitten met potentiële hack mogelijkheden?

[daroy]

naar chrome://net-internals/#hsts

Zoals ik al eerder schreef gebruik je waarschijnlijk HSTS. Je kunt dit wel op de nas uitzetten, maar de browser blijft dit doorgaans nog een half jaar onthouden. Hoe lang precies staat in de header van een website. (Zie ook mijn eerdere link naar de wiki)
Dat de browser dit lang onthoudt is juist de essentie van HSTS.

Ik kon het me niet herinneren dat ik het ooit op mijn nas aan heb gezet, zag de optie daar ook niet aan staan. Maar toen ik naar een google actie deze link vond wist ik natuurlijk wel dat dit het gene was jij al aanhaalde.

Even een zijstapje.
Je zegt dat het gaat om benadering vanaf het internet.
Heb je dan een port forwarding gemaakt naar de poort(en) van je applicaties zoals Sonarr?

Realiseer je je wel dat de meeste applicaties echt niet gemaakt zijn om aan het internet bloot te stellen en dus vol zitten met potentiële hack mogelijkheden?

Klopt ik heb een port forwarding naar die specifieke applicatie gemaakt. Ik weet dat er veiligheidsrisico's aan zitten. Aangezien ik veel reis kan ik via deze weg nog bijhouden wat er wel en niet gedownload wordt.

Een VPN zou een betere oplossing zijn maar dit wordt veelal geblokkeerd op de netwerken waar ik zit.

[Ben(V)]

Dan moet je een VPN opzetten over de ssl poort 443, die wordt nooit geblokkeerd.