Sicurezza

[FRENCH CAN CAN]

Eccomi di nuovo qui, dunque ho testato la connessione protetta https x HFS, collegandomi su internet da un altro pc al mio HFS (i pc non sono in LAN e si trovano in diverse abitazioni), devo dire che la connessione "https" funziona perfettamente, la connessione stabilita è realmente in alta crittografia a 128 bit.

Vantaggi:

- non bisogna installare niente sui pc client,
- la connessione https si crea subito e inoltre è gratuita,
- la velocità è ottima, non ho notato particolari rallentamenti nel trasferimento dei file,
- il trasferimento avviene realmente in alta crittografia a 128 bit (https),
- in poco tempo si installa stunnel e openssl (gratuiti) sul SOLO pc server su cui gira HFS,
- il certificato di protezione è molto facile da creare e inoltre si puo' impostare a piacimento la data di scadenza (pc server),
- la connessione avviene normalmente, usando l'indirizzo statico o dinamico che HFS usa, basta anteporre "https" al posto di "http",
- sia il protocollo "https" che "http" restano funzionanti,
- a quanto pare, guardando il log di stunnel, il tunnel viene creato in IPv6, quindi un possibile utilizzo anche su rete NAT (da verificare),

Svantaggi:

- il server HFS riesce a stabilire la connessione SOLO su 127.0.0.1, ma non occorre impostare NESSUN indirizzo su HFS, infatti anche usando l'indirizzo statico o dinamico che normalmente si usa la connessione "https" avviene normalmente,
- si visualizza un messaggio di errore, all'apertura della connessione "https" ma basta andare avanti, cliccando su "Continuare con il sito web (scelta non consigliata)" e la connessione avviene.

Tutto sommato sembra una soluzione abbastanza valida, adesso se il nostro "gurù" rejetto sarebbe disponibile a modificare, se possibile, HFS, facendo in modo tale che il programma non si colleghi con "https" SOLO all'indirizzo 127.0.0.1 (premetto a dire che non bisogna impostare questo indirizzo su HFS, ma chissà perchè si imposta la connessione "https" su questo indirizzo da sola), io sarei anche disponibile x creare un tutorial, con immagini allegate x semplificare la creazione della connessione "https" risolvendo in questa maniera i problemi di protezione su HFS.

Allego 3 immagini sotto qui:

[rejetto]

non è un difetto di HFS, è un difetto dell'usare stunnel.
stunnel non rigira la connessione, rigira solo i dati che passano sulla connessione. significa che una nuova connessione viene stabilita tra stunnel e HFS, e chiaramente girando sullo stesso PC, questa connessione è locale (127.0.0.1).

quello che potrei farci io è supportare nativamente l'https, così che non ci sia bisogno di nessun altro programma. ma questo è già in to-do.

giusto per conoscenza: se al posto di stunnel ci fosse un programma simile ma pensato per l'http, il problema non si porrebbe (funzionerebbe con un proxy web, che non nasconde gli indirizzi). stunnel invece è generico, funziona per molti scopi oltre l'http.

[FRENCH CAN CAN]

non è un difetto di HFS, è un difetto dell'usare stunnel.
stunnel non rigira la connessione, rigira solo i dati che passano sulla connessione. significa che una nuova connessione viene stabilita tra stunnel e HFS, e chiaramente girando sullo stesso PC, questa connessione è locale (127.0.0.1).

Ciao rejetto, volevo dirti che quelle immagini sono uguali sia che siano state fatte in locale, sul mio pc, sia che si fanno da un altro pc collegato ad internet in un'altra sede.
Quando ci si collega al mio hfs, da un altro pc, infatti stranamente l'indirizzo è sempre 127.0.0.1, e una cosa che non ho capito, infatti da un altro pc, collegandomi al mio hfs dovrebbe dare l'indirizzo reale DI CHI SI COLLEGA, la cosa funziona SOLO SE NON USO la connessione https, ma usando https l'indirizzo è sempre quello, 127.0.0.1 da qualsiasi pc ci si colleghi al mio.
Certo se tu riesci a risolvere la cosa, sarebbe un bel risultato, se vuoi, quando ci troviamo in linea, faccio un server di prova e cosi' verifichi anche tu la cosa, ma se usi https vedrai 127.0.0.1 e non il TUO indirizzo reale. Ti saluto e sempre grazie x la tua disponibilità. French. 

[FRENCH CAN CAN]

Ho risolto definitivamente il problema della connessione protetta https, e allego 2 immagini da dove si evince che NON C'E' NESSUN ERRORE su https, e si visualizza il famoso "Lucchetto" sulla barra degli indirizzi di Internet Explorer, la connessione è perfettamente funzionante è REALMENTE protetta in alta crittografia a 128 bit, per farla breve, e UGUALE alle normali connessioni https che utilizzano costosi certificati di protezione a pagamento, il tutto si può realizzare gratis e richiede la sola installazione sul pc server, quello in cui gira HFS, di stunnel e Openssl, e la SOLA installazione, facile, 3 SOLI CLICK E UNA VOLTA SOLTANTO sui pc client, ripeto UNA SOLA volta, sui pc client, del SOLO certificato di protezione "Privato" che si visualizza all'apertura di https, cliccando sulla barra degli indirizzi, creato con Openssl.

N.B.: Dalle mie ricerche effettuate sul web, la cosa dovrebbe funzionare perfettamente anche su rete NAT, rendendo visibile il pc nattato dall'esterno, poichè il tunnel IPv6 realizzato con stunnel oltrepassa il firewall della rete NAT, quindi, se il sistema funziona, si dovrebbe risolvere definitivamente il problema NAT. (Da testare, serve una "cavia").

Se può interessare a qualcuno, scrivo un tutorial passo-passo x realizzare il tutto. French. 

[sircotra]

non è un difetto di HFS, è un difetto dell'usare stunnel.
stunnel non rigira la connessione, rigira solo i dati che passano sulla connessione. significa che una nuova connessione viene stabilita tra stunnel e HFS, e chiaramente girando sullo stesso PC, questa connessione è locale (127.0.0.1).

Ciao rejetto, volevo dirti che quelle immagini sono uguali sia che siano state fatte in locale, sul mio pc, sia che si fanno da un altro pc collegato ad internet in un'altra sede.
Quando ci si collega al mio hfs, da un altro pc, infatti stranamente l'indirizzo è sempre 127.0.0.1, e una cosa che non ho capito, infatti da un altro pc, collegandomi al mio hfs dovrebbe dare l'indirizzo reale DI CHI SI COLLEGA, la cosa funziona SOLO SE NON USO la connessione https, ma usando https l'indirizzo è sempre quello, 127.0.0.1 da qualsiasi pc ci si colleghi al mio.
Certo se tu riesci a risolvere la cosa, sarebbe un bel risultato, se vuoi, quando ci troviamo in linea, faccio un server di prova e cosi' verifichi anche tu la cosa, ma se usi https vedrai 127.0.0.1 e non il TUO indirizzo reale. Ti saluto e sempre grazie x la tua disponibilità. French. 

Beh, mi pare di aver già spiegato abbastanza semplicemente nelle pagine precedenti come realizzare questo sistema...

[FRENCH CAN CAN]

Si ma scusami se te lo dico, con parecchi errori, e inoltre, non hai superato il problema dell'errore x l'indirizzo web e x il certificato non valido, comunque è GRAZIE alla tua guida che ho realizzato la connessione https SENZA ERRORI, e cioè con la barra degli indirizzi che non visualizza nessun errore, anche se ho dovuto completare dei parametri nella creazione del certificato, quindi credo che chi vorrà utilizzare questo sistema ti deve ringraziare come lo faccio io. Ciao, French.   

[sircotra]

Si ma scusami se te lo dico, con parecchi errori, e inoltre, non hai superato il problema dell'errore x l'indirizzo web e x il certificato non valido, comunque è GRAZIE alla tua guida che ho realizzato la connessione https SENZA ERRORI, e cioè con la barra degli indirizzi che non visualizza nessun errore, anche se ho dovuto completare dei parametri nella creazione del certificato, quindi credo che chi vorrà utilizzare questo sistema ti deve ringraziare come lo faccio io. Ciao, French.   

Ma, infatti, è questo il bello di chi smanetta con ste cose...
Non so quali parametri hai modificato sulla creazione del certificato, ti allego un'immagine di quello che succede da me...
Beh, non considero veri e propri errori quelli che hai sottolineato tu (anche se ammetto che sembrano tali) l'ip di chi "chiama" è visibile in stunnel, il certificato, anche se non valido, funziona per quello che deve fare e dai... la durata del certificato era di un mese ma si trattava solo di un esperimento... Questa passamela 
Ero in "fase di studio" 
Come dicevo Rejetto, stunnel si appoggia al localhost quindi per forza vedevi quello (127.0.0.1).
La durata ooops...
Il certificato non valido lo rimane sempre perchè non c'è nessuna CA (certification authority) che te lo convalidi ma condivido che fare una cosa che costa molto spendendo 0 sia una vera fig...!

Cmq complimenti anche a te che hai preso a cuore il problema e che lo hai ben "studiato" fino ad ottenere una sistema praticamente perfetto 

Aspetto con ansia la tua (sicuramente ottima) guida e se riesci riserva una riga in mio ricordo... 

Saluti
Fabio

P.S.: la riga di comando di qualche pagina fa openssl ecc... da start-esegui mi funzionava perchè avevo inserito openssl in c:\windows\system32

[FRENCH CAN CAN]

MESSAGGIO X SIRCOTRA Per non riportare tutto intero il tuo post:

Grazie innanzitutto x avermi risposto, premetto a dire che do MOLTO PESO al tuo lavoro, non intendo attribuirmi nessun merito che non ho, come ben vedi, cito te in qualche post precedente, quanto prima farò la guida, ma stai tranquillo che ti scriverò nella guida, infatti è grazie a te che ho realizzato https ok, quindi se tu non ti mettevi a smanettare ne io ne qualcun altro sarebbe riuscito a fare la cosa, tutto è partito da te, cosa di cui sono perfettamente consapevole, i piccoli errori è normale, anche io ne faccio tantissimi, devo però chiedere a rejetto se posso mettere la guida sul forum, e se vale la pena di aprire un nuovo topic, magari prima gli faccio un messaggio privato, visto che volevo allegare alla guida anche i 2 programmi, con licenza gnu, e per cui è consentita la loro ridistribuzione, cosi' evito, a chi vuole utilizzare la guida, inutili perdite di tempo.
Mi farà sempre piacere comunicare con te, e se posso dirti una cosa, continua con i tuoi smanettamenti, forse puoi contribuire o risolvere altre cose. Ciao, French.   

[sircotra]

Non preoccuparti, non intendevo accusarti di nulla, forse quel giorno avevo mangiato pesante... 
Cmq ho cercato per la bazza del ip di chi si collega ma nel sito di stunnel si legge che esiste un'opzione (transparent=yes|no) che permette di attivare un proxy trasparente cio che riporta l'ip di chi ti si collega.
Il problema è che funziona solo con UNIX e noncon WIN32 e non è neanche prevista... 

Pecà!!!

Notte

[FRENCH CAN CAN]

Non preoccuparti, non intendevo accusarti di nulla, forse quel giorno avevo mangiato pesante... 
Cmq ho cercato per la bazza del ip di chi si collega ma nel sito di stunnel si legge che esiste un'opzione (transparent=yes|no) che permette di attivare un proxy trasparente cio che riporta l'ip di chi ti si collega.
Il problema è che funziona solo con UNIX e noncon WIN32 e non è neanche prevista... 

Pecà!!!

Notte

Si, ma non è molto importante sapere l'ip di chi ti si collega, infatti anche usando https, si può sempre vedere l'ip collegato da hfs stesso, non perdiamoci altro tempo, certo che i sistemi UNIX sono sempre i migliori, non x niente i migliori server su internet girano su UNIX. Ciao e buona notte anche a te, French. 

[FRENCH CAN CAN]

.... il certificato, anche se non valido, funziona per quello che deve fare e dai... la durata del certificato era di un mese ma si trattava solo di un esperimento... Questa passamela 
Ero in "fase di studio" 

La durata ooops...
Il certificato non valido lo rimane sempre perchè non c'è nessuna CA (certification authority) che te lo convalidi ma condivido che fare una cosa che costa molto spendendo 0 sia una vera fig...!
Saluti
Fabio

Scusate ma ho dimenticato ad allegare 2 immagini, li metto sotto qui:

[sircotra]

Ciao,
intendevo metaforicamente "non valido" dato che la cosa l'hai creata in casa... 

Sto testando altri software per fare un accesso sicuro, vi saprò dire appena ho qualcosa di interessante...

saluti

Fabio

[FRENCH CAN CAN]

Mr. rejetto mi ha dato l'ok x la guida, la posso creare allegando i programmi e i file che servono x il tutto, adesso posso cominciare a crearla, quanto prima aprirò un nuovo topic, qui sul forum, da dove chi è interessato potrà fare il download. 

[filorenna]

Mr. rejetto mi ha dato l'ok x la guida, la posso creare allegando i programmi e i file che servono x il tutto, adesso posso cominciare a crearla, quanto prima aprirò un nuovo topic, qui sul forum, da dove chi è interessato potrà fare il download. 

Grazie mille, sarebbe davvero utilissima! resto in trepidante attesa. Inoltre io uso HFS con hamachi poichè sono NATtato FastWeb, quindi se hai bisogno di qualcosa per eseguire dei test di funzionamento sotto nat sono più che disponibile a dare il mio contributo facendo da "cavia", nonostante mi intenda molto molto poco di queste cose 
Aspetto la guida o un tuo contatto. Ciao ciao

[FRENCH CAN CAN]

Grazie mille, sarebbe davvero utilissima! resto in trepidante attesa. Inoltre io uso HFS con hamachi poichè sono NATtato FastWeb, quindi se hai bisogno di qualcosa per eseguire dei test di funzionamento sotto nat sono più che disponibile a dare il mio contributo facendo da "cavia", nonostante mi intenda molto molto poco di queste cose 
Aspetto la guida o un tuo contatto. Ciao ciao

Grazie x la tua disponibilità, ma voglio prima finire la guida, sto includendo anche delle immagini nella guida che stò creando con il word e la cosa mi impiegherà un pò di tempo, e non ne ho molto, vedremo x la NAT, se è fattibile la cosa, occorre fare dei test e possibilmente essere in contatto, magari telefonico, x capirci meglio in tempo reale. Ciao, French.