Entonces, digamos que alojo algo como el tablero de netdata en el puerto 6000.
Luego, hago un proxy inverso de nginx al subdominio netdata.domain.com
Mientras que la autenticación básica se aplica en nginx.conf para permitir la protección de todo el sitio.
Mi pregunta es, dado que mi conexión a netdata.domain.com es http en lugar de https, mis datos no están cifrados. Entonces, ¿iniciar sesión en la autenticación básica de nginx con esta conexión básicamente no expondrá la contraseña para un ataque MITM?
Pero si agrego Cloudflare entre la IP real, eso da una capa de proxy y básicamente agrega mucha dificultad para que eso suceda, ¿verdad?
No sé si mi inquietud es válida.
Respuesta1
Mi pregunta es, dado que mi conexión a netdata.domain.com es http en lugar de https, mis datos no están cifrados. Entonces, ¿iniciar sesión en la autenticación básica de nginx con esta conexión básicamente no expondrá la contraseña para un ataque MITM?
Correcto. Se envía completamente en texto claro y cualquiera que se encuentre en el camino puede leerlo de forma trivial.
Pero si agrego Cloudflare entre la IP real, eso da una capa de proxy y básicamente agrega mucha dificultad para que eso suceda, ¿verdad?
Si configura CF para que requiera TLS, la conexión entre el cliente y CF se cifrará. Entre CF y servidor no será así.
Estamos en 2021. Los certificados son gratuitos y trivialmente automatizables en todas las plataformas. No implemente la autenticación a través de HTTP en 2021. Configúrelo de la manera correcta con TLS en su servidor web.