Tham gia Đăng nhập
Điểm:0
yolenoyer avatar Server

Có an toàn khi nói chuyện với API cục bộ bằng http không, khi điểm cuối công khai là https?

lá cờ ng
yolenoyer

Bối cảnh

Tôi có một thiết lập máy chủ trông như thế này:

  • Một máy chủ Apache đang lắng nghe ví dụ.com;
  • cổng công cộng 80 được chuyển hướng đến 443;
  • cổng công cộng 443 được chuyển tiếp đến một dự án Symfony;
  • Trên cùng một máy, có một máy chủ API cục bộ được viết bằng Rust đang lắng nghe http://127.0.0.1:8030 (không hỗ trợ SSL/TLS);
  • API cục bộ có thể phản hồi một số dữ liệu nhạy cảm, như mã thông báo xác thực JWT;
  • https://example.com/api là một proxy cho máy chủ API cục bộ (ProxyPassProxyPassĐảo ngược, xem cấu hình Apache bên dưới), để:
    • hiển thị API cho người dùng cuối có hỗ trợ SSL/TLS,
    • và để có thể gửi các yêu cầu javascript XHR tới nó, từ trang web Symfony công khai.

Ghi chú: Tôi đã thực hiện thiết lập này bằng proxy cho API cục bộ vì tôi gặp nhiều rắc rối với quy tắc CORS; nhưng đây là không phải chủ đề của câu hỏi của tôi (tôi đoán có rất nhiều thiết lập tốt hơn nhiều).

Câu hỏi

Thiết lập này có thể được coi là an toàn hay nên bổ sung hỗ trợ SSL/TLS cho API cục bộ?

Cấu hình Apache, đơn giản hóa một chút

<VirtualHost *:80>
   ServerName example.com
   Redirect / https://example.com
</VirtualHost>

<VirtualHost *:443>
    ServerName example.com

    DirectoryIndex /index.php

    ProxyPass /api http://127.0.0.1:8030/
    ProxyPassReverse /api http://127.0.0.1:8030/

    SSLEngine on
    SSLProtocol -ALL +TLSv1.2 +TLSv1.3
    SSLCompression off
    SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    SSLCACertificateFile /etc/letsencrypt/live/example.com/fullchain.pem

    DocumentRoot /var/www/html/symfony_project/public
    <Directory /var/www/html/symfony_project/public>
        AllowOverride All
        Require all granted
        Allow from All
        FallbackResource /index.php
    </Directory>

    ErrorLog /var/log/apache2/symfony_project_error.log
    CustomLog /var/log/apache2/symfony_project_access.log combined
</VirtualHost>
37
0 + 0
Điểm:0
Kamil J avatar Server
lá cờ it
Kamil J

Phụ thuộc vào quyền truy cập vào chính máy chủ.Trong trường hợp hệ thống chỉ xử lý lưu lượng truy cập http/https và không có người dùng nào (ngoại trừ quản trị viên) được phép đăng nhập, tôi sẽ nói CÓ, đó là thiết kế an toàn...

Câu hỏi đặt ra là AI và KHI NÀO có khả năng nắm bắt được dữ liệu nhạy cảm. Dù sao thì việc chấm dứt SSL cũng được thực hiện trên máy chủ, vì vậy vẫn có phần tồn tại dữ liệu không an toàn (ví dụ: RAM). Vì vậy, cho đến khi hệ thống bị hạn chế quyền truy cập và dữ liệu không an toàn không rời khỏi hệ thống (ví dụ: không chuyển card mạng), dữ liệu sẽ an toàn.

Lớp SSL trên kết nối cục bộ sẽ không có lợi ích lớn vì dù sao thì tất cả các khóa đều nằm trên hệ thống. Tài nguyên được lưu khi hủy/mã hóa lưu lượng cục bộ có thể được sử dụng cho lượng kết nối cao hơn mà hệ thống có thể xử lý...

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.