Auteur Topic: Is HTTP Strict Transport Security (HSTS) nieuw in dsm 5.1?  (gelezen 4838 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Is HTTP Strict Transport Security (HSTS) nieuw in dsm 5.1?
« Gepost op: 15 oktober 2014, 10:25:22 »
In DSM 5.1 zag ik voor het eerst de HSTS optie in DSM (Onder netwerk -> advanced settings). In de relesenotes van DSM 5.0 noch van 5.1 kom ik echter de term HSTS tegen.

Volgens deze pagina moet HSTS door alle actuele browsers ondersteunt worden. (Met uitzondering van IE).

Ik heb het nu al een paar week aan staan op de nas, maar alleen Safari doet er wat mee, maar bij Firefox en Chrome werkt het niet. Nu vraag ik me af of er toch een bug in het synology protocol zit, of dat het niet werkt in de mac versies van Firefox en Chrome. Heeft iemand hier al ervaring mee?
Ik heb dus bewust de redirect instelling naar HTTPS uit staan en gebruik alleen de HSTS setting en alleen Safari schakelt bij mij nu automatisch naar HTTPS.

Wat HSTS doet is aan de browser aangeven dat hij een HTTPS verbinding wil hebben. De browser schakelt dan over naar HTTPS en onthoud deze wens voor een lange tijd. (default is geloof ik een jaar). Als je dan de volgende keer via HTTP probeert in te loggen, dan veranderd het al naar HTTPS vóórdat er een HTTP verbinding gelegd is.
Dat is dus nog veiliger dan de klassieke re-direct naar HTTP waar je kort via HTTP verbonden bent en er malware code uitgevoerd kan worden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: Is HTTP Strict Transport Security (HSTS) nieuw in dsm 5.1?
« Reactie #1 Gepost op: 16 oktober 2014, 07:22:20 »
Ik kan me niet herinneren dat de HSTS functie in DSM 5.0 of eerder zat. Maar kan ook niet met 100% zekerheid bevestigen dat HSTS is toegevoegd in DSM 5.1.

Een toevoeging op het bericht van Briolet:
Naast het feit dat een website automatisch om zou moeten schakelen van http:// naar https://. Moeten ook alle absolute links binnen de pagina om worden gezet naar https.

Ik heb onderstaande functie tijdelijk uitgeschakeld:
Citaat
HTTP - verbindingen omleiden naar HTTPS (behalve Web Station en Photo Station)

En HSTS aangezet. Op het moment dat ik mijn NAS benader met het http protocol krijg ik een Bad request antwoord. M.a.w. hij doet zowel in Chrome als Firefox weldegelijk iets met HSTS. Want als ik DSM opvraag met https dan kom ik keurig op de inlogpagina. Het automatisch omleiden doet hij echter niet. En dus weet ik ook niet of eventuele http links (als die er zijn) binnen DSM wel automatisch worden omgeleid naar https.

Voor zover ik nu kan achterhalen heeft HSTS in ieder geval dezelfde functie als het omleiden van http naar https in Firefox en Chrome voor Windows.
 
DS918+, DS713+, DS215J

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Re: Is HTTP Strict Transport Security (HSTS) nieuw in dsm 5.1?
« Reactie #2 Gepost op: 16 oktober 2014, 09:58:54 »
Voor zover ik nu kan achterhalen heeft HSTS in ieder geval dezelfde functie als het omleiden van http naar https …

Het verschil is dat je een re-direct nog via een man-in-the-middle aanval kunt onderscheppen en naar een andere site kunt leiden. Als je dan b.v. "mijnbank" intikt kun je naar een andere site omgeleid worden.

Via HSTS begint de browser direct via een beveiligde verbinding te connecten, met het bekende certificaat, zodat ook een man-in-the-middle aanval onmogelijk is. HSTS is geen vervanging van de re-direct, maar een aanvulling.

 Ik heb in Firefox via de menu optie "Webontwikkelaar" --> "Netwerk" even naar de header gekeken. Ik zie dan dat hij niet op de webpagina werkt en alleen op de webman pagina (poort 5001).

De header op pagina 10.0.1.30:80


De header op pagina 10.0.1.30:5001


Maar ondanks dat ik de HSTS regel in de header zie bij een HTTPS inlog, krijg ik geen HTTPS pagina als ik met HTTP probeer in te loggen. Dat lijkt me dan bijna een Firefox bug.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

DS 107+ loopt vast met nieuw firmware

Gestart door MudaBoard Synology DSM 5.1 en eerder

Reacties: 3
Gelezen: 2129
Laatste bericht 04 oktober 2011, 11:38:12
door Matr1x
Security advisor

Gestart door vdhoek1972Board Synology DSM BETA versies

Reacties: 21
Gelezen: 10422
Laatste bericht 15 oktober 2014, 20:20:27
door Birdy
NIEUW [21-11-2016] Spotweb installatie tutorial. >>> KLOPT NIET MEER.

Gestart door BirdyBoard Spotweb

Reacties: 3
Gelezen: 11010
Laatste bericht 28 november 2016, 21:29:20
door Birdy
Security update voor de mac

Gestart door BrioletBoard Mac OS X

Reacties: 4
Gelezen: 1705
Laatste bericht 17 november 2017, 10:24:01
door HansZ
Photo station niet bereikbaar via http

Gestart door hughwingBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 8
Gelezen: 4289
Laatste bericht 06 juli 2015, 18:29:59
door Babylonia