Nehmen wir also an, ich hoste etwas wie das Netdata-Dashboard auf Port 6000.
Dann verwende ich einen Nginx-Reverse-Proxy zur Subdomäne netdata.domain.com
Während bei nginx.conf eine grundlegende Authentifizierung angewendet wird, um einen seitenweiten Schutz zu ermöglichen.
Meine Frage ist, da meine Verbindung zu netdata.domain.com http statt https ist, sind meine Daten nicht verschlüsselt. Wird also das Anmelden bei der Nginx-Basisauthentifizierung unter dieser Verbindung nicht grundsätzlich das Passwort für einen MITM-Angriff offenlegen?
Aber wenn ich Cloudflare zwischen die echte IP füge, entsteht eine Proxy-Ebene und das erschwert das Ganze im Grunde sehr, oder?
Ich weiß nicht, ob meine Sorge berechtigt ist.
Antwort1
Meine Frage ist, da meine Verbindung zu netdata.domain.com http statt https ist, sind meine Daten nicht verschlüsselt. Wird also das Anmelden bei der Nginx-Basisauthentifizierung unter dieser Verbindung nicht grundsätzlich das Passwort für einen MITM-Angriff offenlegen?
Richtig. Es wird vollständig im Klartext gesendet und jeder im Pfad kann es problemlos lesen.
Aber wenn ich Cloudflare zwischen die echte IP füge, entsteht eine Proxy-Ebene und das erschwert das Ganze im Grunde sehr, oder?
Wenn Sie CF so konfigurieren, dass TLS erforderlich ist, wird die Verbindung zwischen Client und CF verschlüsselt. Zwischen CF und Server geschieht dies nicht.
Wir schreiben das Jahr 2021. Zertifikate sind kostenlos und auf allen Plattformen problemlos automatisierbar. Setzen Sie 2021 keine Authentifizierung über HTTP ein. Konfigurieren Sie sie ordnungsgemäß mit TLS auf Ihrem Webserver.