neves000 15 Posted November 15, 2021 Share Posted November 15, 2021 (edited) Pour conclure je dirais qu'Emby devrait pouvoir permettre de configurer plus finement les options SSL, pour qu'on puisse choisir nous même les protocoles autorisés, permettre d'autoriser ou non les certificats auto-signés, voire ajouter notre propre CA (j'utilise une CA interne pour tous mes périphériques). Et être plus verbeux sur les messages d'erreur de connexion au niveau des clients ! J'ajouterais aussi ce tutorial pour un reverse proxy avec nginx, qui ne fait pas que transférer la connexion mais ajoute des options de sécurité (options et protocoles SSL, SSL pinning, headers HTTP, etc.) : À adapter pour ce tutorial Apache Edited November 15, 2021 by neves000 1 Link to comment Share on other sites More sharing options...
Randdrick 24 Posted November 15, 2021 Author Share Posted November 15, 2021 (edited) 7 hours ago, neves000 said: Pour conclure je dirais qu'Emby devrait pouvoir permettre de configurer plus finement les options SSL, pour qu'on puisse choisir nous même les protocoles autorisés, permettre d'autoriser ou non les certificats auto-signés, voire ajouter notre propre CA (j'utilise une CA interne pour tous mes périphériques). Et être plus verbeux sur les messages d'erreur de connexion au niveau des clients ! 8 hours ago, neves000 said: Le client Emby sur la TV n'accepte pas un certificat self signé (si c'est le cas) et ne remonte pas l'erreur. < ça a l'air d'être le problème chez moi. En tout cas chez moi, ce n'étais pas ce problème car mon certificat n'était pas auto-signé. C'est un certificat généré à partir le Let'Encrypt que j'ai juste converti au format PKCS #12 8 hours ago, neves000 said: Le client Emby sur la TV ne comprend pas les protocoles SSL supportés par le serveur Emby et ne remonte pas l'erreur. Pourquoi pas, mais pourquoi alors ma TV fonctionne sans problème avec le reverse proxy ? Son client Emby est bien configuré comme suit : https://monserveuremby.ddns.net - Port : laissé vide Et ça ne lui pose aucun problème. 8 hours ago, neves000 said: Quelque chose qui m'échappe A moi aussi. Soit le port 8920 est fermé en sortie sur certaines TV, mais cela n'a pas de sens. Ou alors, leurs communications sécurisées sont forcées sur le port 443. Mais cela n'a pas plus de sens car pourquoi un constructeur mettrait une telle règle en place ? A tester : mettre une redirection du port 443 vers le 8920 et voir si ça passe. 8 hours ago, neves000 said: Le jour où une vulnérabilité tombe dans Emby, la première chose que va faire un attaquant c'est sortir son scan des ports 8096 (et 8920) et y ajouter les 23000 Emby qu'on trouve sur shodan sur les ports 80/443. En fait, quand lit bien bien ce qui est remonté sur Shodan, c'est 27299 serveur Emby exposés. Les ports les plus exposés sont ci-dessous. Tu as quand même plus de 13000 personnes qui ont ouvert le port 8096 sur le box (ou autre) pour avoir accès à leur serveur Emby de l'extérieur... Impressionnant. Mais bon. D'ailleurs, il est intéressant de constater que le port 443 ne fait pas parti de la liste du top 5 des ports les plus exposés. Ni même Apache d'ailleurs 8 hours ago, neves000 said: Ce que je veux mettre en avant, c'est qu'il faut arrêter de croire que quelque chose est sécurisé uniquement parce que ça passe dans un tunnel SSL. Le fameux "c'est sécurisé parce qu'il y a un cadenas dans la barre en haut du navigateur" Oui je suis d'accord avec toi. La sécurité ne se résume pas à un cadenas dans une barre d'URL. Edited November 15, 2021 by Randdrick Link to comment Share on other sites More sharing options...
neves000 15 Posted November 16, 2021 Share Posted November 16, 2021 Quelques nouveaux tests : Emby 4.6.4.0 écoute en SSL sur le port 8920 avec un certificat signé par ma propre CA. Cette CA n'est pas dans le store de ma TV ou de mon smartphone. C'est donc l'équivalent d'un certificat auto-signé. Aucun problème pour me connecter en HTTPS sur Emby avec mon navigateur Web (Emby Web 4.6.4.0). Ma TV LG (avec Emby Theater 1.0.24) ne peut pas se connecter à mon Emby SSL port 8920 : "Erreur de connexion". En mettant un serveur SSL avec les même clés/certificats sur mon PC, je vois la connexion arriver mais même erreur sur la TV. (Cela exclu un éventuel filtrage du port 8920 en sortie de la TV.) openssl s_server -key privatekey.key -cert certificate.crt -accept 8920 -WWW -debug Ma MiBox S (avec Emby AndroidTv 2.0.48g) ne peut pas se connecter à mon Emby SSL port 8920 : "Erreur de connexion au serveur". En mettant un serveur SSL avec les même clés/certificats sur mon PC, je vois la connexion arriver mais même erreur sur la box. (Cela exclu un éventuel filtrage du port 8920 en sortie de la box.) Mon smartphone Android (avec Emby for Android 3.2.26) arrive à se connecter à mon Emby SSL port 8920. Il affiche un message à propos du certificat qui ne lui plaît pas mais je peux lui dire de continuer quand même, et tout fonctionne ensuite correctement. Même comportement sur ma tablette avec Emby for Android 3.2.26. Quelle est la version de ton application Android sur ta TV Philips ? Link to comment Share on other sites More sharing options...
Randdrick 24 Posted November 16, 2021 Author Share Posted November 16, 2021 30 minutes ago, neves000 said: Quelle est la version de ton application Android sur ta TV Philips ? Je suis en 2.0.48g pour la version d'Emby sur mon Android TV. C'est peut-être lié, du coup, à la version d'Emby. Link to comment Share on other sites More sharing options...
Luke 37253 Posted November 16, 2021 Share Posted November 16, 2021 @Randdrick has this helped you resolve this? Link to comment Share on other sites More sharing options...
Randdrick 24 Posted November 16, 2021 Author Share Posted November 16, 2021 (edited) @Luke Emby TV work fine with a reverse proxy, but they have a problem with secure connexion on the 8920 port. I open a new ticket for this. Edited November 16, 2021 by Randdrick Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now