只是 nginx 开启 ssl ,后端的 tomcat 不用 ssl,这样有安全风险吗?

2014-07-02 17:48:06 +08:00
 lfzyx
6074 次点击
所在节点    NGINX
11 条回复
yueyoum
2014-07-02 18:02:04 +08:00
tomcat 监听 127.0.0.1 或者 部署在 内网机器上, 就是安全的
jimrok
2014-07-02 18:05:20 +08:00
一定程度,如果nginx被攻破,还是可以监听到tomcat的内容的。
wdlth
2014-07-02 18:52:27 +08:00
不用https应该是可以嗅探到的,最好还是双方都https,就像Google PageSpeed Service SSL。
a2z
2014-07-02 20:02:05 +08:00
@jimrok
nginx被攻破,后面用了ssl还是可以监听到。
jimrok
2014-07-02 20:20:01 +08:00
@a2z 做中间人的话,如果客户端验证证书是不是就无法连接成功了?
a2z
2014-07-02 20:33:30 +08:00
@jimrok
不是中间人,实际上是这样的

客户端 SSL加密--->Nginx SSL解密--->NGINX作为客户端SSL加密---->Tomcat SSL解密
^
|
|
|
|
SSL added and removed here :)
a2z
2014-07-02 20:34:07 +08:00
@a2z
中间那个竖线在nginx ssl解密后,再次加密发到tomcat前
izoab
2014-07-02 21:35:31 +08:00
@a2z 可是如果NG都被攻破了,那就算后面用的是SSL,貌似想听包或者做中间人也不是什么太大难度的事了,比如改回源目标
sharpnk
2014-07-02 21:35:42 +08:00
你有两把一模一样的锁。一把锁了大门,一把锁住卧室。两把同时锁给你带来的更多的是心理上的安慰。
jimrok
2014-07-03 13:37:29 +08:00
@izoab ssl一般是要校验证书的,你攻破nginx,但你没有tomcat上的ssl证书,客户端验证你的证书信息时候肯定出错。
duzhe0
2014-07-03 20:37:12 +08:00
nginx是怎么被攻破的?为什么nginx被攻破了,tomcat就不会被攻破了?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/120639

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX