假設我在連接埠 6000 上託管類似 netdata 儀表板的東西。
然後我將 nginx 反向代理到子網域 netdata.domain.com
雖然基本驗證應用於 nginx.conf 以允許站點範圍的保護。
我的問題是,由於我與 netdata.domain.com 的連接是 http 而不是 https,因此我的資料未加密。那麼在此連線下登入 nginx basic auth 不會基本上暴露 MITM 攻擊的密碼嗎?
但是,如果我在真實 IP 之間添加 cloudflare,就會提供一層代理,並且基本上會增加很多難度,對嗎?
我不知道我的擔心是否合理。
答案1
我的問題是,由於我與 netdata.domain.com 的連接是 http 而不是 https,因此我的資料未加密。那麼在此連線下登入 nginx basic auth 不會基本上暴露 MITM 攻擊的密碼嗎?
正確的。它完全以明文形式發送,路徑中的任何人都可以輕鬆閱讀它。
但是,如果我在真實 IP 之間添加 cloudflare,就會提供一層代理,並且基本上會增加很多難度,對嗎?
如果將 CF 配置為需要 TLS,則用戶端和 CF 之間的連線將會加密。 CF和伺服器之間就不會了。
現在是 2021 年。 2021 年不要透過 HTTP 部署驗證。