Web station et sécurité ...

[Muse_stream]

Hello, 

Je découvre doucement les fonctionnalités de serveur de mon NAS et je réfléchis à l'opportunité de remettre online quelques sites dont j'avais fini par arrêter de payer l'hébergement ...

Je me demandais : si un de mes sites présente une sérieuse faille de sécurité (codé à la main, caractère après caractère, amateur passionné à l'époque), cela peut-il mettre en danger les données du NAS (Cloud Station et autres) ?  Ou est-ce que les dégâts seront cantonnés au dossier web et www ?  Y a-t-il un risque par exemple d'attirer l'attention sur mon NAS et que mon identifiant soit spécifiquement visé dans le décours ?

Merci d'avance :)

[Einsteinium]

Si tu n'ouvres pas les vannes au serveur web, le seul danger d'une faille sera l'accès du dossier web et de la base de donnée liée.

Bref prévoir une sauvegarde régulière de ses derniers.

[Fenrir]

@Einsteinium Désolé de te contredire ouvertement (tu n’acceptes pas les MP) mais si son code est vraiment troué, les risques sont assez grand.

Je ne vais certainement pas expliquer comment ici, mais si le code est vraiment mauvais, on peut très facilement accéder à une bonne partie du nas (peut être tout, je n'ai pas pris le temps de chercher). À titre d'exemple, via webstation, j'ai très facilement récupéré les informations de connexion de ma caméra (pass inclus).

[Einsteinium]

Ah oui j'ai ma boîte pleine de MP, je vais faire la purge 

Oui c'est pour ça que je disais ne de pas ouvrir les vannes du serveur 

Cela me rappel le bon vieux temps... (je te le raconterai en MP 

[Fenrir]

il y a 1 minute, Einsteinium a dit :

Oui c'est pour ça que je disais ne de pas ouvrir les vannes du serveur 

Même en resserrant au max les options de WebStation, je passe à travers

La seule protection ici c'est de sécuriser son code ... (ou docker, mais c'est une autre histoire)

[Muse_stream]

eh ben, pas rassurant 

mais Fenrir, tu passes à travers parce qu'il y a une quand même assez grosse faille quelque part dans le code ?!
je m'y suis remis depuis hier et en relisant mon code (2014, ça fait bizarre), ça me semble assez correct
juste que j'avais la flemme de coder un forum et que j'avais étendu la gestion des membres du forum à la totalité du site (pour les commentaires, etc) en me basant sur le système du forum : par sécurité, je vais virer tout ce versant que je contrôle nettement moins...
 

à la limite, une fois le site remis sur pieds je te le soumettrai pour tests  

 

 

[Fenrir]

il y a 39 minutes, Muse_stream a dit :

mais Fenrir, tu passes à travers parce qu'il y a une quand même assez grosse faille quelque part dans le code ?!

Oui, j'ai volontairement créé un code avec un gros trou, mais si le syno avait été mieux protégé en interne (process et droits sur le système de fichiers), je n'aurai pas pu fait grand chose en dehors du dossier web et de truc sans risques.

[gaetan.cambier]

Ça me rassure pas ça ... webstation tourne sur un compte particulier non ? Http me semble

[Einsteinium]

Perso la je viens de voir sur dsm 6, il y a une plus grande ouverture de configuration pour web station... voilà qui améliora pas la sécurité des utilisateurs lambda fouineurs

@gaetan.cambier il y a un utilisateur avec les droits de lecture sur web par défaut, pour les applications qui en dépendent je pense...