Lange URL (schijn)veilig? - Netwerken

vrijdag 5 september 2008 09:56

Acties:

Topicstarter

Door de recente ophoging van de internetsnelheid op mijn mobiele telefoon (T-Mobile) wilde ik de muziek die thuis op mijn server staat graag streamen naar mijn telefoon. Op die manier loop je tenminste nooit rond met muziek die je al 10 keer hebt gehoord, omdat je bent vergeten nieuwe muziek op je tel te zetten

Normaal doe ik die op PC's via https + authenticatie. Op mijn WinMobile 6.1 lukt dat echter niet, dus dacht ik eraan om via https + authenticatie de playlists op te halen en dan de muziek te streamen via http met een -lange- URL , dus http://blabla.nl/sdnbrfhw...32-3rh273rh279/Muziek.mp3.

Ik vroeg mij echter af hoe veilig zoiets is? Ik heb geen zin dat andere mensen/computers (Google?) mijn voorraad ontdekken en/of gebruiken. Is het zo dat omdat niemand op de hoogte is van deze URL en het ook niet bestaat uit uit "raadbaars" dit een soort veiligheid creëert? Of is dit meer een soort schijnveiligheid?

vrijdag 5 september 2008 09:58

Acties:

Boudewijn

omdat het kan

Als je indexable dirs hebt is het sowieso een failure. Verder is dit een klassiek staaltje van security through obscurity en mi. dus nie extreem veilig.

Aan de andere kant: hoe extrem veilig moeten die paar mp3's van je zijn?

.

Kun je niet een set IPs afgrendelen?

vrijdag 5 september 2008 10:07

Acties:

Mr_Big

Topicstarter

Boudewijn schreef op vrijdag 05 september 2008 @ 09:58:
Als je indexable dirs hebt is het sowieso een failure. Verder is dit een klassiek staaltje van security through obscurity en mi. dus nie extreem veilig.

Aan de andere kant: hoe extrem veilig moeten die paar mp3's van je zijn? .

Kun je niet een set IPs afgrendelen?

En met "indexable dirs" bedoel je dat ik die handel moet uitsluiten in de robots.txt? Zo ja, dan vraag ik me nog altijd af hoe een Google achter die dir moet komen, want inderdaad: securitty through obscurity.
Set van IP's moet ik eens naar kijken. Denk alleen dat mijn tel geen vast IP adres heeft, maar dan kan ik bijvoorbeeld alsnog alleen T-Mobile IP's toegang geven. Dat scheelt natuurlijk al een slok op een borrel.

vrijdag 5 september 2008 10:09

Acties:

Verwijderd

waarom maak je geen php script waar je bijvoorbeeld zelf een wachtwoord in de url moet zetten. Dan zou het dus zo worden

www.blabla.nl/?mp3stream....ek.mp3&pass=myownpassword

Het is lastig tegen zoiets te beveiligen. Je zal zowieso moeten zorgen dat niemand in die directory kan dan van buitenaf.

vrijdag 5 september 2008 10:09

Acties:

SandaX

Nicht Ärgern nur wundern

Aan die robots.txt zul je niet zo heel veel hebben, alleen de "nette" indexeerders houden hier rekening mee. Obscuurdere zoekmachines trekken zich van een robots.txt helemaal niks aan.

vrijdag 5 september 2008 10:11

Acties:

Verwijderd

Kun je niet gewoon online radio afluisteren?

vrijdag 5 september 2008 10:15

Acties:

remco_k

een cassettebandje was genoeg

Wat jij wilt bereiken is veilig genoeg.

Maak gewoon een submap ergens die niet brute force gegokt kan worden, en zorg ervoor dat je nergens naar die map doorlinkt, want dán vinden de searchengines deze map wel.
Zet 'm ook niet in robots.txt, want dan geef je juist een hint dat je die map hebt.

Zet de map niet in een open dir (duh).
Niemand die dat raad, ook niet een search engine.

Zelf gebruik ik een 'vreemde mapnaam' als alternatieve beveiliging. Al jaren, en aan de teller te zien op de pagina die in die map staat, ben ik de enige die erop komt.
Echter, m'n pincode van m'n pinpas zou ik er niet opzetten...
Eventueel maak je in PHP een scriptje wat filterd op IP. (als je een vast IP adres hebt...)

[ Voor 14% gewijzigd door remco_k op 05-09-2008 10:18 ]

Alles kan stuk.

vrijdag 5 september 2008 10:18

Acties:

Mr_Big

Topicstarter

Mijn doel is ook niet een super beveiliging. Ik begrijp dat zonder authenticatie in principe iedere joker bij mijn spullen kan. het gaat mij er alleen om dat ik het niet zo makkelijk maak door de kans zo klein mogelijk te krijgen dat mensen/computers weten waar ze moeten zoeken.
Dus als iemand geen werken met een packetsniffer, dan ben ik sowieso verloren, maar die kans lijkt me zo gering. Het gaat me dus echt met name om het opwerpen van een eerste hindernis. Werkt een lekker lange URL daarbij, of zijn er (eenvoudige) trucs voor mensen/computers/searchengines om daarachter te komen?

Moet zeggen dat ik die opmerking over PHP wel interessant vind, want klinkt al een stuk veiliger. Heb er zelf alleen geen kaas van gegeten, dus wil graag meer horen. Kan ik met behulp van PHP bijvoorbeeld met Opera Mobile inloggen op mijn site, de login + wachtwoord ingeven en dat er dan automatisch een playlist o.i.d. wordt gegenereerd waardoor TCPMP erbij kan? Op meot ik zelf playlists opbouwen waarin zo'n stukje php staat incl. wachtwoord?
Eerdere oefeningen liepen namelijk stuk op het probleem dat TCPMP, of welke speler voor WinMobile dan ook, niks doet/kan met authenticatie.

vrijdag 5 september 2008 10:21

Acties:

remco_k

een cassettebandje was genoeg

Mr_Big schreef op vrijdag 05 september 2008 @ 10:18:
Mijn doel is ook niet een super beveiliging. Ik begrijp dat zonder authenticatie in principe iedere joker bij mijn spullen kan. het gaat mij er alleen om dat ik het niet zo makkelijk maak door de kans zo klein mogelijk te krijgen dat mensen/computers weten waar ze moeten zoeken.
Dus als iemand geen werken met een packetsniffer, dan ben ik sowieso verloren, maar die kans lijkt me zo gering. Het gaat me dus echt met name om het opwerpen van een eerste hindernis. Werkt een lekker lange URL daarbij, of zijn er (eenvoudige) trucs voor mensen/computers/searchengines om daarachter te komen?

Als je een mapnaam bedenkt alla 'sfjFDSxd' en die staat niet in een opendir en je vermeld deze mapnaam _nergens_ anders, dan heb je daar je veiligheid.

Kan je niet iets met .htaccess doen? Dan is inloggen verplicht voordat de inhoud van de betreffende map wordt getoond / toegankelijk is.

Alles kan stuk.

vrijdag 5 september 2008 10:21

Acties:

Erkens

Fotograaf

Mr_Big schreef op vrijdag 05 september 2008 @ 10:18:
Moet zeggen dat ik die opmerking over PHP wel interessant vind, want klinkt al een stuk veiliger.

Als je het puur doet door een username+password in de url te zetten biedt het geen meer waarde. Overigens kan je ook prima een kortere url gebruiken, zolang hij maar niet eenvoudig te raden is

Kan ik met behulp van PHP bijvoorbeeld met Opera Mobile inloggen op mijn site, de login + wachtwoord ingeven en dat er dan automatisch een playlist o.i.d. wordt gegenereerd waardoor TCPMP erbij kan?

Wat je idd zou kunnen doen is een simpele webapplicatie welke de playlist "vrijgeeft" voor een bepaalde tijd met een bepaalde url. Veiliger dan dat zonder authenticatie is bijna niet mogelijk.

vrijdag 5 september 2008 10:23

Acties:

Koppensneller

winterrrrrr

Heb je al eens gekeken naar een streamserver als Subsonic? Dat gebruik ik zelf om elders mijn muziek van thuis te luisteren, en dat werkt prima! Je krijgt een .m3u toegestuurd, dus als het goed is moet WM daar wel mee overweg kunnen.

Edit: als je het eens wil proberen: thuis.hugodejong.net:99

Username en pass zijn beide 'demo'.

[ Voor 10% gewijzigd door Koppensneller op 05-09-2008 10:27 ]

vrijdag 5 september 2008 10:27

Acties:

Mr_Big

Topicstarter

KoppenSneller schreef op vrijdag 05 september 2008 @ 10:23:
Heb je al eens gekeken naar een streamserver als Subsonic? Dat gebruik ik zelf om elders mijn muziek van thuis te luisteren, en dat werkt prima! Je krijgt een .m3u toegestuurd, dus als het goed is moet WM daar wel mee overweg kunnen.

Ziet er interessant uit. Heb echter ook al Orb uitgeprobeerd, maar dat wilde (om voor mij duistere redenen) toch niet werken op WinMob. Op een normale PC werkte het wel.

vrijdag 5 september 2008 11:01

Acties:

Boudewijn

omdat het kan

Mr_Big schreef op vrijdag 05 september 2008 @ 10:07:
En met "indexable dirs" bedoel je dat ik die handel moet uitsluiten in de robots.txt? Zo ja, dan vraag ik me nog altijd af hoe een Google achter die dir moet komen, want inderdaad: securitty through obscurity.

Nee dit is de index-page die apache aanmaakt in een dir zonder index.{php|html}

vrijdag 5 september 2008 11:04

Acties:

Mr_Big

Topicstarter

Boudewijn schreef op vrijdag 05 september 2008 @ 11:01:
[...]

Nee dit is de index-page die apache aanmaakt in een dir zonder index.{php|html}

Da's nog wel een goeie om uit te zetten inderdaad. Ik maak toch gebruik van playlists, dus dat moet geen probleem zijn.

Als ik de posts zo lees, lijkt het er trouwens op dat "security through obscurity" in dit geval een prima oplossing is. Niet echt veilig, maar veilig genoeg en lekker makkelijk te realiseren.

vrijdag 5 september 2008 11:05

Acties:

Boudewijn

omdat het kan

Klopt, zo belangrijk is je data niet.
Ik zou iig alleen een bepaald subnet allowen van je ISP, dat is al heel aardige filter

.

vrijdag 5 september 2008 14:06

Acties:

CyBeR

💩

Verwijderd schreef op vrijdag 05 september 2008 @ 10:09:
waarom maak je geen php script waar je bijvoorbeeld zelf een wachtwoord in de url moet zetten. Dan zou het dus zo worden

www.blabla.nl/?mp3stream....ek.mp3&pass=myownpassword

Het is lastig tegen zoiets te beveiligen. Je zal zowieso moeten zorgen dat niemand in die directory kan dan van buitenaf.

Dat is feitelijk hetzelfde. Je moet gewoon de goede URL raden.

All my posts are provided as-is. They come with NO WARRANTY at all.