Dubbio su connessione https (forse da novellina...)

utrecht · 21-04-2008, 20:20

ciao a tutti,
nel mio ufficio stiamo utilizzando un'applicazione web per la gestione dei clienti, dettagli della loro documentazione, etc... Ho installato un certificato di sicurezza (un file .cer generato da uno strumento chiamato makecert della microsoft) e quando mi collego digito "https" in modo tale che, mi spiegava il tecnico-programmatore, i dati viaggiano protetti e crittografati.
Mi è sorto un dubbio: ho provato a disinstallare il certificato e con grande stupore... la connessione con "https" funziona uguale e mi autentico senza problemi!

A questo punto vi chiedo:
- basta veramente digitare https: per avere una connessione protetta?
- Come è possibile che senza quel certificato mi posso loggare con successo? Allora non serviva a niente installarlo.

Grazie in anticipo per le eventuali risposte

ciao ciao

W.S. · 22-04-2008, 08:23

Quote:

Originariamente inviato da utrecht

- basta veramente digitare https: per avere una connessione protetta?
- Come è possibile che senza quel certificato mi posso loggare con successo? Allora non serviva a niente installarlo.

Per cifrare il contenuto della connessione basta usare il protocollo https.
Il certificato sul client può servire per il riconoscimento del client stesso (visto che è autogenerato). A quanto pare però l'applicazione remota non verifica l'autenticità del client visto che funziona anche senza certificato, magari non è ancora configurata del tutto...

xcdegasp · 22-04-2008, 09:12

sì esatto magari è ancora in fase di test cioè non è "consolidata", oppure è proprio un baco per un errore di configurazione.
ad ogni modo il client dovrebbe, a far bene, accettare i certificati solo per la sessione corrente in questo modo ogni volta viene riscaricato e si è sicuri d'usare la versione corretta del certificato

Psychnology · 03-07-2009, 08:09

ciao ragazzi
riutilizzo questo post per fare una domanda:
ha realmente qualche vantaggio in fatto di sicurezza che io mi colleghi al mio nas casalingo in https anziché in http?
Io sul mio router ho forwardato solo la porta in https in questo modo è impossibile collegarmi al nas dall'esterno in http. E' un accorgimento di sicurezza valido? Ovviamente il nas non mi chiede alcun certificato, si tratta di un QNAP. Sapete se posso installarvi io un certificato?
Ciao

xcdegasp · 03-07-2009, 09:34

Quote:

Originariamente inviato da Psychnology

ciao ragazzi
riutilizzo questo post per fare una domanda:
ha realmente qualche vantaggio in fatto di sicurezza che io mi colleghi al mio nas casalingo in https anziché in http?
Io sul mio router ho forwardato solo la porta in https in questo modo è impossibile collegarmi al nas dall'esterno in http. E' un accorgimento di sicurezza valido? Ovviamente il nas non mi chiede alcun certificato, si tratta di un QNAP. Sapete se posso installarvi io un certificato?
Ciao

se è preddisposto per consentire l'uso del protocollo https dovrebbe anche chiedere un'autenticazione perchè altrimenti qualsiasi individuo che puntasse al tuo ip potrebbe accedere al nas di conseguenza senza login avere una connessione https o http è assolutamente uguale

se proprio non vuoi l'autenticazione allora ti consiglio caldamente di non dare la possibilità di accesso dall'esterno della lan

Gennarino · 06-07-2009, 18:17

Non basta cambiare la porta dalla 80 alla 443 per attivare la crittografia nel protocollo HTTPS. Che il browser digitando https://indirizzodelnas si connetta, e' come digitare http://indirizzodelnas:443 ma cio' non attiva, non essendoci alcuno scambio chiave, nessuna crittografia.

Psychnology · 06-07-2009, 22:33

Quote:

Originariamente inviato da Gennarino

Non basta cambiare la porta dalla 80 alla 443 per attivare la crittografia nel protocollo HTTPS. Che il browser digitando https://indirizzodelnas si connetta, e' come digitare http://indirizzodelnas:443 ma cio' non attiva, non essendoci alcuno scambio chiave, nessuna crittografia.

non ci avevo pensato! Grazie per l'ottimo appunto, a questo punto non so come sfruttare questa caratteristica del mio nas,,,

xcdegasp · 06-07-2009, 23:04

Quote:

Originariamente inviato da Psychnology

non ci avevo pensato! Grazie per l'ottimo appunto, a questo punto non so come sfruttare questa caratteristica del mio nas,,,

come dicevo, usando l'autenticazione.

21-04-2008, 20:20	#1
utrecht Member Iscritto dal: Jul 2002 Messaggi: 202	Dubbio su connessione https (forse da novellina...) ciao a tutti, nel mio ufficio stiamo utilizzando un'applicazione web per la gestione dei clienti, dettagli della loro documentazione, etc... Ho installato un certificato di sicurezza (un file .cer generato da uno strumento chiamato makecert della microsoft) e quando mi collego digito "https" in modo tale che, mi spiegava il tecnico-programmatore, i dati viaggiano protetti e crittografati. Mi è sorto un dubbio: ho provato a disinstallare il certificato e con grande stupore... la connessione con "https" funziona uguale e mi autentico senza problemi! A questo punto vi chiedo: - basta veramente digitare https: per avere una connessione protetta? - Come è possibile che senza quel certificato mi posso loggare con successo? Allora non serviva a niente installarlo. Grazie in anticipo per le eventuali risposte ciao ciao

22-04-2008, 09:12	#3
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	sì esatto magari è ancora in fase di test cioè non è "consolidata", oppure è proprio un baco per un errore di configurazione. ad ogni modo il client dovrebbe, a far bene, accettare i certificati solo per la sessione corrente in questo modo ogni volta viene riscaricato e si è sicuri d'usare la versione corretta del certificato __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

03-07-2009, 08:09	#4
Psychnology Senior Member Iscritto dal: Feb 2003 Città: Milano Messaggi: 5268	ciao ragazzi riutilizzo questo post per fare una domanda: ha realmente qualche vantaggio in fatto di sicurezza che io mi colleghi al mio nas casalingo in https anziché in http? Io sul mio router ho forwardato solo la porta in https in questo modo è impossibile collegarmi al nas dall'esterno in http. E' un accorgimento di sicurezza valido? Ovviamente il nas non mi chiede alcun certificato, si tratta di un QNAP. Sapete se posso installarvi io un certificato? Ciao __________________ "In teoria non c'è differenza fra la teoria e la pratica. Ma in pratica c'è."

06-07-2009, 18:17	#6
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	Non basta cambiare la porta dalla 80 alla 443 per attivare la crittografia nel protocollo HTTPS. Che il browser digitando https://indirizzodelnas si connetta, e' come digitare http://indirizzodelnas:443 ma cio' non attiva, non essendoci alcuno scambio chiave, nessuna crittografia. __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

Strumenti
Mostra una versione stampabile Invia questa pagina per email