Auteur Sujet: Sécuriser l'accès à un site web - Méthodes / pièges / bon à savoir ? (Lu 10434 fois)

Hugues · « **Réponse #12 le:** 26 février 2017 à 15:23:52 »

Si il fonctionne sur Apache 2.2, il fonctionne forcèment sur apache 2.4, modulo une conf moisie

Darkjeje · « **Réponse #13 le:** 26 février 2017 à 15:34:32 »

Citation de: kgersen le 26 février 2017 à 15:13:46

si tu reste avec Apache et une sécurité basique les réponses ont déjà été données je pense.
Perso je ferais juste des acces VPN sans toucher a la partie qui marche déja ('le mieux est l'ennemi du bien'): active le VPN dans le syno et un client vpn dans le(s) mobile(s).
Je préféré toujours séparer la sécurité de l'application quand c'est possible et la c'est le cas. Si tu veux vraiment faire via un web ouvert sur l'exterieur tu peux mettre un "reverse proxy sécurisé" frontal (Apache ou NGinx) devant ton serveur existant plutôt que modifier celui ci.

Apres pour le fun et vu que t'as un IPhone tu peux utiliser Apple HomeKit + homebridge + un plugin pour ton système (au pire a coder s'il n'existe pas mais cherche bien avant).

Comme cela tu pourra piloter tout avec la voix ou le tactile via le wifi de la maison.
Et de l’extérieur il suffit d'avoir une Apple TV ou laisser un IPad dans la maison, ils peuvent servir de relais sécurisés (la sécu utilise iCloud keychain).

Chez Google/Android y'a l’équivalent qui arrive aussi.

Oui j'essaye aussi de piloter ma domotique à la voix, mais ce n'est pas concluant pour le moment.
J'ai essayé Yana, Jarvis, mais je suis moyennement fan pour le moment.

Un habitant du quartier a créé une appli pour Iphone mais non validée car Apple ne peut vérifier qu'elle fait ce pourquoi elle a été créée, c'est à dire allumer/éteindre les lumières,...
Il y a aussi une appli qui a été créée pour Android, mais l'avantage du website c'est que ça fonctionne sur tout support.
Sur Android et Iphone, mais aussi en raccourci sur nos ordis,...

Pour le VPN, ce n'est pas ce que j'appel quelques choses de simple pour un non initié (ma copine). Et depuis que je suis passé à android 5.02 sur mon G2, lorsque je me connecte à mon NAS en VPN L2TP/IPSec, celui-ci s'éteint et se relance,...

Darkjeje · « **Réponse #14 le:** 26 février 2017 à 15:38:45 »

Citation de: Hugues le 26 février 2017 à 15:23:52

Si il fonctionne sur Apache 2.2, il fonctionne forcèment sur apache 2.4, modulo une conf moisie

En fait il fonctionne, c'est juste que j'ai une règle php pour savoir si je suis en https, et qui actualise la page en https si elle ne l'est pas déjà.
Hors sous Apache 2.4 la commande $_SERVER["HTTPS"] ne retourne rien.
Et comme j'ai plein de chose à faire et peu de temps, j'ai pas creusé la question.

Comme indiqué à kgersen, je suis pas fermer à ne plus utiliser apache/php, mais si apache/php est suffisant en terme de sécurité, pourquoi changer ?
Surtout si je dois repasser des heures à tester et chercher des infos sur comment faire, car c'est pas du tout mon cœur de métier.

kgersen · « **Réponse #15 le:** 26 février 2017 à 16:38:29 »

au tout début, je pensais que t'avais a coder une application en php. la tu veux juste sécurisé un truc existant et qui marche déjà. Tu n'a pas besoin de toucher au code PHP. pas une ligne de code. il te faut juste toucher a la config d'Apache.

Tu peux mettre le redirect http->https dans la config d'Apache et l’authentification aussi. relis bien les réponses de Vivien il a déjà donné toutes les infos nécessaires ou alors la réponse de buddy.

Darkjeje · « **Réponse #16 le:** 26 février 2017 à 16:50:03 »

Ah pardon on s'était mal compris.

Oui j'ai mis plusieurs mois à comprendre la programmation de ma domotique, de pondre la page php,...
Tout fonctionne en local et je veux juste le rendre accessible sur le net de manière sécurisée.
Sans que cela soit complexe afin que ma copine n'est qu'à lancer le raccourci Safari sans se soucier de si elle est en wifi ou en 3G/4G, qu'elle soit en https, qu'elle tape son mot de passe /login (ou mieux qu'il soit mémorisé, si cela est sûr) et qu'elle fasse les actions qu'elle souhaite au niveau de la domotique.

Pour le moment, j'ai un .htaccess dans le dossier principal du site qui redirige en https et demande un mot de passe.
Puis un fichier index.php qui vérifie qu'on est en https, qui vérifie qu'on est en local, et si ce n'est pas le cas qui vérifie le terminal qui se connecte afin de n'autoriser que le sien et le mien.

Pour ce qui est du virtualhost (merci Vivien), je ne sais pas sous Synology DSM 6 où il se trouve ni comment le mettre à jour en ligne de commande.

Pour la technique de Buddy, j'ai une erreur, faut que je vois d'où elle vient.

kgersen · « **Réponse #17 le:** 26 février 2017 à 17:05:11 »

pour la conf Apache, ca dépend en effet de comment c'est géré par syno. regarde dans /usr/local/etc/httpd/sites-enabled ?
en général le nom du fichier est httpd.conf mais dans les confis complexe ou automatisé (cas du syno) ce fichier peut être éclaté en plusieurs morceaux avec des noms différents.

Darkjeje · « **Réponse #18 le:** 26 février 2017 à 17:53:29 »

Je vais chercher ça. Merci kgersen

Darkjeje · « **Réponse #19 le:** 01 octobre 2017 à 13:18:43 »

Bonjour à tous,

J'ai pas mal avancé sur min site web et je l'ai migré sur mon rasp afin entre autre, d'être sur un linux plus classique que mon synology.

J'ai pu grâce à votre aide (comment sécuriser un site web), obtenir la note de A+ sur CryptCheck (il ne me reste que Diffie Hellman : ECC 256 bits en orange) Merci pour le tuto Vivien !!!

Par contre je rencontre un soucis. Mon site est joignable en wifi depuis mon portable mais pas en 3g.
J'ai l'impression qu'en ipv4 le site ne répond pas.
J'ai beau avoir mis une redirection sur la freebox des ports 80 et 443 mais toujours rien.
Il fonctionne avec le nom de domaine en wifi sur mon smartphone, en câble sur mon PC, avec l'adresse ipv4 de mon rasp depuis mon pc, mais pas avec l'adresse ipv4 de ma connexion free, ni le nom de domain en ipv4 (ipv6 désactiver sur mon PC le temps du test).

Auriez-vous un procès à suivre pour bien identifier où cela bloque ?

Darkjeje · « **Réponse #20 le:** 03 octobre 2017 à 17:00:13 »

Bon ben je sais pas pourquoi mais en changeant de port RJ45 sur mon nouveau switch, j'ai récupérer un accès externe de mon rasp sur le port 80.

Est-ce que vous avez déjà vue cela ?
C'est un GS108Ev3.

vivien · « **Réponse #21 le:** 03 octobre 2017 à 18:46:49 »

Un switch (niveau 2) ne devrait pas influer sur les ports TCP utilisés.

Je pense que le pb est ailleurs.

Darkjeje · « **Réponse #22 le:** 03 octobre 2017 à 20:34:26 »

Le problème vient en effet d'ailleurs mais je ne sais comment l'identifier.

Ce matin j'ai changé le port du switch en laissant mon rasp allumé et il était de nouveau accessible depuis le net en ipv4.
Ce soir il ne l'est plus. Entre temps je l'ai redémarrer via la commande "sudo shutdown -r now"
J'ai donc de nouveau changé de port et il est redevenu joignable depuis mon smartphone.

Comment pourrais-je diagnostiquer le problème ?

Darkjeje · « **Réponse #23 le:** 31 octobre 2017 à 09:14:57 »

Quelqu'un aurait il une idée de la cause de ma perte de connexion wan ?

Pour rappel, lorsque le rasp redémarre, les wget ne fonctionne pas, l'accès au rasp via un appareil hors de mon réseau ne fonctionne pas alors que l'accès via mon réseau fonctionne.
Mais dès que je débranche le câble réseau de mon rasp et le rebranche, la connexion revient. Idem si je tape une commande réinitialisant la carte réseau,...