Então, digamos que eu hospede algo como painel netdata na porta 6000.
Então eu faço proxy reverso nginx para o subdomínio netdata.domain.com
Embora a autenticação básica seja aplicada no nginx.conf para permitir proteção em todo o site.
Minha pergunta é: como minha conexão com netdata.domain.com é http em vez de https, meus dados não são criptografados. Portanto, o login na autenticação básica nginx nesta conexão não exporá basicamente a senha para um ataque MITM?
Mas se eu adicionar cloudflare entre o ip real, isso dá uma camada de proxy e basicamente adiciona muita dificuldade para isso acontecer, certo?
Não sei se minha preocupação é válida.
Responder1
Minha pergunta é: como minha conexão com netdata.domain.com é http em vez de https, meus dados não são criptografados. Portanto, o login na autenticação básica nginx nesta conexão não exporá basicamente a senha para um ataque MITM?
Correto. Ele é enviado inteiramente em texto não criptografado e qualquer pessoa no caminho pode lê-lo trivialmente.
Mas se eu adicionar cloudflare entre o ip real, isso dá uma camada de proxy e basicamente adiciona muita dificuldade para isso acontecer, certo?
Se você configurar o CF para exigir TLS, a conexão entre o cliente e o CF será criptografada. Entre CF e servidor não será.
Estamos em 2021. Os certificados são gratuitos e trivialmente automatizáveis em todas as plataformas. Não implante autenticação via HTTP em 2021. Configure-a da maneira adequada com TLS em seu servidor web.