Допустим, я размещаю что-то вроде панели мониторинга NetData на порту 6000.
Затем я использую обратный прокси-сервер nginx для поддомена netdata.domain.com.
В то время как базовая аутентификация применяется в nginx.conf для обеспечения защиты всего сайта.
Мой вопрос в том, что поскольку мое соединение с netdata.domain.com - http вместо https, мои данные не зашифрованы. Так не будет ли вход в nginx basic auth под этим соединением по сути раскрывать пароль для атаки MITM?
Но если я добавлю CloudFlare между реальным IP, это создаст слой прокси и, по сути, значительно усложнит задачу, верно?
Я не знаю, обоснованы ли мои опасения.
решение1
Мой вопрос в том, что поскольку мое соединение с netdata.domain.com - http вместо https, мои данные не зашифрованы. Так не будет ли вход в nginx basic auth под этим соединением по сути раскрывать пароль для атаки MITM?
Правильно. Он отправляется полностью открытым текстом, и любой, кто окажется на пути, может его легко прочитать.
Но если я добавлю CloudFlare между реальным IP, это создаст слой прокси и, по сути, значительно усложнит задачу, верно?
Если вы настроите CF на требование TLS, то соединение между клиентом и CF будет зашифровано. Между CF и сервером — нет.
На дворе 2021 год. Сертификаты бесплатны и легко автоматизируются на всех платформах. Не развертывайте аутентификацию по HTTP в 2021 году. Настройте ее правильно с помощью TLS на вашем веб-сервере.