【问题标题】:Is everything behind a secure proxy secure?安全代理背后的一切是否安全?
【发布时间】:2016-05-21 03:21:35
【问题描述】:

在查看HTTP State Management Mechanism Spec 特别是4.1.2.5 之后,它提到:

Secure 属性将 cookie 的范围限制为“安全” 通道(其中“安全”由用户代理定义)。当一个 cookie 具有 Secure 属性,用户代理将包括 仅当请求通过 安全通道(通常是 HTTP over Transport Layer Security (TLS))

我想知道我的设置是否正确设置。我有一个 hapijs 服务器和一个 nginx 代理服务器,它位于后面。 nginx 服务器配置为 HTTPS(无论如何我都可以通过 https://... 访问它)。现在有一些方法可以向 hapijs 服务器提供证书以提供 TLS。我的问题是:这有必要吗?用户的浏览器和我的服务器之间的连接受到 TLS 保护,然后所有通信都发生了,而无需通过网络发送任何内容,所以我认为它会没事的。

我在这里可能离基地很远,所以如果我是的话,也许有人可以指出我正确的方向。

【问题讨论】:

    标签: security ssl cookies nginx hapijs


    【解决方案1】:

    cookie 的“安全”属性由客户端(网络浏览器)处理,而不是由任何代理服务器(至少我知道!)。

    所以只要浏览器连接的端点是安全的,你应该没问题。

    这是一种非常常见的设置,仅用于保护端点的流量 - 前提是您对端点和最终目的地(例如同一台机器或内部网络)之间链路的安全性感到满意。

    当然,内部网络流量可以被现场某人(例如员工)嗅探,因此从安全角度来看,始终使用 https 是最好的,但是从端点到最终目的地使用 http 不应阻止“安全”cookies根据我的经验发送。

    如果使用外部网络作为第一台服务器(例如 CDN),那么强烈建议使用 https 一直到安全端点,尽管它们不会被停止。

    【讨论】:

    • 我的意思是这是有道理的——你一直在谈论使用 HTTPS 的部分——但我找不到任何关于如何使该连接安全的信息。
    • 什么意思?你不知道如何为 https 配置 hapijs?
    • 对不起,我指的是关于您的评论“所以从安全的角度来看,https 一直是最好的”。我有一个来自 LetsEncrypt 的 nginx 代理证书。但是我将如何保护从 nginx 到 hapi 的连接。该证书,也许我错了,重用是没有意义的,因为 hapi 不再面向浏览器。 Hapi 应该只是假设与 nginx 的连接是可信的,但我没有在网上找到任何信息来保证连接是安全的。
    • Hapi 不知道它是安全的(除了 cookie 已经到达的事实)所以是的,它必须假设它是安全的。我想你的 hapi 服务器除了通过 Nginx 之外不能直接从外部访问?如果是这样,那么这就是你的安全,你必须信任你的 Nginx 设置。
    • 可以从 Nginx 通过 http 联系 Hapi,或者如果您想要额外的安全层,可以通过 https。您将无法重用该证书,因为名称不匹配(除非它在同一服务器上,在这种情况下 https 就更不需要了),但您可以使用自签名证书并设置 Nginx 以信任它。可能比它的价值更麻烦,并且将 Nginx - Hapi 部分留在 http 上,正如我所说,现在相当标准。
    猜你喜欢
    • 2022-01-22
    • 1970-01-01
    • 1970-01-01
    • 2020-02-22
    • 2019-06-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-04-04
    相关资源
    最近更新 更多