B
ну мало ли какие требования к безопасности..
Не, если трафик идет по недоверенной сети то https безусловно нужен. Только тогда я бы поставил балансер на хост с иобом и разгружал бы шифрование там.
Size: a a a
2020 December 07
AA
Да, на этом участке хттп. Да, впн с шифрованием достаточно для защиты трафика. На иобе хттпс не нужен. Да и не дело приложению в себе терминировать хттпс, это задача балансировщика
Не понял, нужно дважды аутентификацию проходить? 1 раз на шлюзе (htpasswd), 2 раз на иобе?
B
Не понял, нужно дважды аутентификацию проходить? 1 раз на шлюзе (htpasswd), 2 раз на иобе?
Зачем? Оставьте все меры безопасности на балансировщике, а иобу Лейте чистый http трафик
AA
Зачем? Оставьте все меры безопасности на балансировщике, а иобу Лейте чистый http трафик
Не... У меня на иобе семья, у каждого свой набор прав...
AA
ACL объектов иоба - в топку? так низя.
AA
Как временное решение наверное можно, но на постоянку надо что-то делать..
B
Не... У меня на иобе семья, у каждого свой набор прав...
А. Ну да. тогда авторизацию оставьте на и обе, а https на балансировщике
AA
А. Ну да. тогда авторизацию оставьте на и обе, а https на балансировщике
То есть выпилить htpasswd из конфига и всё?
B
То есть выпилить htpasswd из конфига и всё?
Все, что касается авторизации, да
AA
Все, что касается авторизации, да
Получилось, спасибо. Вот теперь надо подумать нет ли в этом решении дыр...
B
Получилось, спасибо. Вот теперь надо подумать нет ли в этом решении дыр...
Пожалуйста)
АК
Не понял, нужно дважды аутентификацию проходить? 1 раз на шлюзе (htpasswd), 2 раз на иобе?
а зачем httpasswd? оставь только оборачивание на https
AA
а зачем httpasswd? оставь только оборачивание на https
сделал, работает, думаю о дырах..
АК
Получилось, спасибо. Вот теперь надо подумать нет ли в этом решении дыр...
человек по середине между nginx и iob)
B
человек по середине между nginx и iob)
Впн же
AA
на шлюзе в момент входа с инета
АК
Впн же
я беру при условии что уже в сети. В остальном будет зашифрован трафик либо впн, либо https.
АК
на шлюзе в момент входа с инета
устаревшая версия nginx в которой может быть уязвимость
B
устаревшая версия nginx в которой может быть уязвимость
Это атака на сервер фронтенда а не на иоб)
B
Для анализа нужна модель угроз. От кого защищаемся, что защищаем, насколько сильно