源站提供 HTTP, 再由 CDN 反代后提供 HTTPS 服务. 这种模式安全吗?

2017-05-25 08:59:50 +08:00
 chenset
Client: https//domain.com:443 ==> CDN: http://domain.com:1024  ==> 源站

1 浏览器通过 https//domain.com:443 https 地址进行访问
2 CDN 通过 http://domain.com:1024 http 地址进行回源

如果要使用这种模式开发基金理财(安全要求高)网站.
问 1: 想请教下这种 CDN 通过非 https 回源(源站在阿里云)的模式现实中会有被劫持的情况吗? 有其他安全隐患吗?
问 2: 这种模式普遍吗 ?

2811 次点击
所在节点    问与答
27 条回复
ivyliner
2017-05-25 09:03:43 +08:00
会被劫持, 你源站也支持 HTTPS 就好了, 为什么要想着 HTTP 回源?
BOYPT
2017-05-25 09:05:49 +08:00
可能存在 ISP 间劫持的情况。
wclebb
2017-05-25 09:07:23 +08:00
我不懂这些东西,但如果我是骇客(黑客)研究下,我是不是只要俘获到 Http 源头的 IP,然后从中获取信息就可以了呢?
chenset
2017-05-25 09:11:17 +08:00
@ivyliner @BOYPT 我的服务端处理 HTTPS 的速度很慢, 甚至一度成为了瓶颈. HTTP 情况下就正常了, 于是就想着把这部分计算转给 CDN....
chenset
2017-05-25 09:12:46 +08:00
@wclebb 除了 CDN 主动提供, 理论上可以做到不会被俘获到 Http 源头的 IP 的.
morethansean
2017-05-25 09:17:40 +08:00
@chenset 即便你觉得不会被查到源头,但 ISP 之间劫持还是很常见啊……
chinafeng
2017-05-25 09:25:53 +08:00
服务端处理 HTTPS 很慢 ? 这什么奇怪的服务端, 理论上就算是 1 核带个 SSL 没什么问题吧
chenset
2017-05-25 09:26:00 +08:00
@morethansean CDN 到云主机商这种不是普通的民用线路, 运营商也会这么无耻的劫持吗 ? 通常不是发生在民用电脑走宽带到 http 服务器才导致的劫持吗
wclebb
2017-05-25 09:26:15 +08:00
@chenset #5 那么对于我小白了说,你对此信任有多大?
chenset
2017-05-25 09:28:42 +08:00
@chinafeng 我也各种测试啊, 始终搞不掂. http 能达到 600qps https 就只有 200 了.
chenset
2017-05-25 09:29:34 +08:00
@wclebb 既然大家都这么说了, 我也不会采用这种模式了. 现在也纯讨论而已了...
chinafeng
2017-05-25 09:31:03 +08:00
@chenset #11 怎么配置的呢 ? 如果不方便又有兴趣, 可以私底下聊聊
BOYPT
2017-05-25 09:31:17 +08:00
@wclebb #3 获得 Http 源头的 IP 主要是为了发起 DDOS 攻击,获取不了信息。


@chenset #8 此前很常见的是部署在七牛的静态文件经过聚合 CDN 就被加了广告代码;可能这段时间来线路整理会改善些,不过依然是有这个可能。
tony1016
2017-05-25 09:32:19 +08:00
CDN 到你源站是专线??否则源站还不是会在互联网上
chenset
2017-05-25 09:40:11 +08:00
@tony1016 我以为 isp 只劫持民用宽带, 我高估了运营商的无耻底线.
laxenade
2017-05-25 09:59:27 +08:00
扫一下端口就拿到 http 了。倒是可以在服务端设置一下只允许 xxx.xxx.xxx.xxx 访问(假设 edge 的 ip 是有规律的)。
lyhiving
2017-05-25 10:02:57 +08:00
被破的几率已经很低
chenset
2017-05-25 10:08:51 +08:00
@laxenade 扫一下就能拿到是什么意思? 源站 ip 又没泄露.
wwqgtxx
2017-05-25 10:17:01 +08:00
@laxenade 要不老哥扫扫 V2EX orgin 服务器的 ip 嘛
jasontse
2017-05-25 10:25:21 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/363619

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX