たとえば、ポート 6000 で netdata ダッシュボードのようなものをホストするとします。
次に、サブドメインnetdata.domain.comにnginxリバースプロキシします。
サイト全体の保護を可能にするために、nginx.conf で基本認証が適用されます。
私の質問は、netdata.domain.com への接続が https ではなく http であるため、データが暗号化されていないということです。したがって、この接続で nginx 基本認証にログインすると、基本的に MITM 攻撃に対してパスワードが公開されるのではないでしょうか。
しかし、実際の IP の間に cloudflare を追加すると、プロキシのレイヤーが追加され、基本的にそれが発生するのがかなり難しくなりますよね?
私の懸念が正当なものかどうかは分かりません。
答え1
私の質問は、netdata.domain.com への接続が https ではなく http であるため、データが暗号化されていないということです。したがって、この接続で nginx 基本認証にログインすると、基本的に MITM 攻撃に対してパスワードが公開されるのではないでしょうか。
正解です。完全に平文で送信され、経路上の誰でも簡単に読み取ることができます。
しかし、実際の IP の間に cloudflare を追加すると、プロキシのレイヤーが追加され、基本的にそれが発生するのがかなり難しくなりますよね?
CF が TLS を要求するように構成すると、クライアントと CF 間の接続は暗号化されます。CF とサーバー間の接続は暗号化されません。
2021 年です。証明書は無料で、すべてのプラットフォームで簡単に自動化できます。2021 年には HTTP 経由の認証を展開しないでください。Web サーバーで TLS を使用して適切な方法で構成してください。