V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
chenset
V2EX  ›  问与答

源站提供 HTTP, 再由 CDN 反代后提供 HTTPS 服务. 这种模式安全吗?

  •  
  •   chenset · 2017-05-25 08:59:50 +08:00 · 2817 次点击
    这是一个创建于 2739 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Client: https//domain.com:443 ==> CDN: http://domain.com:1024  ==> 源站
    

    1 浏览器通过 https//domain.com:443 https 地址进行访问
    2 CDN 通过 http://domain.com:1024 http 地址进行回源

    如果要使用这种模式开发基金理财(安全要求高)网站.
    问 1: 想请教下这种 CDN 通过非 https 回源(源站在阿里云)的模式现实中会有被劫持的情况吗? 有其他安全隐患吗?
    问 2: 这种模式普遍吗 ?

    27 条回复    2017-05-25 15:55:49 +08:00
    ivyliner
        1
    ivyliner  
       2017-05-25 09:03:43 +08:00   ❤️ 1
    会被劫持, 你源站也支持 HTTPS 就好了, 为什么要想着 HTTP 回源?
    BOYPT
        2
    BOYPT  
       2017-05-25 09:05:49 +08:00
    可能存在 ISP 间劫持的情况。
    wclebb
        3
    wclebb  
       2017-05-25 09:07:23 +08:00 via iPhone
    我不懂这些东西,但如果我是骇客(黑客)研究下,我是不是只要俘获到 Http 源头的 IP,然后从中获取信息就可以了呢?
    chenset
        4
    chenset  
    OP
       2017-05-25 09:11:17 +08:00
    @ivyliner @BOYPT 我的服务端处理 HTTPS 的速度很慢, 甚至一度成为了瓶颈. HTTP 情况下就正常了, 于是就想着把这部分计算转给 CDN....
    chenset
        5
    chenset  
    OP
       2017-05-25 09:12:46 +08:00
    @wclebb 除了 CDN 主动提供, 理论上可以做到不会被俘获到 Http 源头的 IP 的.
    morethansean
        6
    morethansean  
       2017-05-25 09:17:40 +08:00
    @chenset 即便你觉得不会被查到源头,但 ISP 之间劫持还是很常见啊……
    chinafeng
        7
    chinafeng  
       2017-05-25 09:25:53 +08:00
    服务端处理 HTTPS 很慢 ? 这什么奇怪的服务端, 理论上就算是 1 核带个 SSL 没什么问题吧
    chenset
        8
    chenset  
    OP
       2017-05-25 09:26:00 +08:00
    @morethansean CDN 到云主机商这种不是普通的民用线路, 运营商也会这么无耻的劫持吗 ? 通常不是发生在民用电脑走宽带到 http 服务器才导致的劫持吗
    wclebb
        9
    wclebb  
       2017-05-25 09:26:15 +08:00   ❤️ 1
    @chenset #5 那么对于我小白了说,你对此信任有多大?
    chenset
        10
    chenset  
    OP
       2017-05-25 09:28:42 +08:00
    @chinafeng 我也各种测试啊, 始终搞不掂. http 能达到 600qps https 就只有 200 了.
    chenset
        11
    chenset  
    OP
       2017-05-25 09:29:34 +08:00
    @wclebb 既然大家都这么说了, 我也不会采用这种模式了. 现在也纯讨论而已了...
    chinafeng
        12
    chinafeng  
       2017-05-25 09:31:03 +08:00
    @chenset #11 怎么配置的呢 ? 如果不方便又有兴趣, 可以私底下聊聊
    BOYPT
        13
    BOYPT  
       2017-05-25 09:31:17 +08:00   ❤️ 1
    @wclebb #3 获得 Http 源头的 IP 主要是为了发起 DDOS 攻击,获取不了信息。


    @chenset #8 此前很常见的是部署在七牛的静态文件经过聚合 CDN 就被加了广告代码;可能这段时间来线路整理会改善些,不过依然是有这个可能。
    tony1016
        14
    tony1016  
       2017-05-25 09:32:19 +08:00   ❤️ 1
    CDN 到你源站是专线??否则源站还不是会在互联网上
    chenset
        15
    chenset  
    OP
       2017-05-25 09:40:11 +08:00
    @tony1016 我以为 isp 只劫持民用宽带, 我高估了运营商的无耻底线.
    laxenade
        16
    laxenade  
       2017-05-25 09:59:27 +08:00
    扫一下端口就拿到 http 了。倒是可以在服务端设置一下只允许 xxx.xxx.xxx.xxx 访问(假设 edge 的 ip 是有规律的)。
    lyhiving
        17
    lyhiving  
       2017-05-25 10:02:57 +08:00 via Android
    被破的几率已经很低
    chenset
        18
    chenset  
    OP
       2017-05-25 10:08:51 +08:00
    @laxenade 扫一下就能拿到是什么意思? 源站 ip 又没泄露.
    wwqgtxx
        19
    wwqgtxx  
       2017-05-25 10:17:01 +08:00 via iPhone
    @laxenade 要不老哥扫扫 V2EX orgin 服务器的 ip 嘛
    jasontse
        20
    jasontse  
       2017-05-25 10:25:21 +08:00 via iPad   ❤️ 1
    chenset
        21
    chenset  
    OP
       2017-05-25 10:28:37 +08:00
    @jasontse 吓死人啊.
    chenset
        22
    chenset  
    OP
       2017-05-25 10:31:30 +08:00
    @jasontse 曾经 http 的年代, 那些站是怎么活过来的?!
    baskice
        23
    baskice  
       2017-05-25 10:53:11 +08:00   ❤️ 2
    @chenset 早些时候劫持广告还没有这么疯狂,后来+-为了监视内容要求全部 isp 都上监测系统却不给钱,这部分开销就由这套系统顺带的查广告功能解决。只是现在越来越不要脸插广告插得越来越疯狂了
    Showfom
        24
    Showfom  
       2017-05-25 11:32:11 +08:00   ❤️ 2
    只要你对 CDN 厂商到你源站之间的网络有信心,那就没问题,如果可以走内网,那就更没问题了,比如 cloudflare 就可以对 GCP 的机器走内网,需要申请

    https://www.cloudflare.com/integrations/google-cloud/
    laxenade
        25
    laxenade  
       2017-05-25 12:07:10 +08:00
    @chenset #18 不一定是有针对性得扫。总有些人无聊喜欢没事扫服务器,比如把整段 ip 都扫一遍。特别是那些没有 VPC 的服务商的 ip(没错我就是在说 Digital Ocean)
    RqPS6rhmP3Nyn3Tm
        26
    RqPS6rhmP3Nyn3Tm  
       2017-05-25 13:20:38 +08:00 via iPhone
    一个域名不可以指向两个 IP 吧?
    goodryb
        27
    goodryb  
       2017-05-25 15:55:49 +08:00
    不知道这样是否够安全 Client --https-->CDN --( https )-->SLB --( http+内网)-->VPC ( ECS )
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   943 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:48 · PVG 06:48 · LAX 14:48 · JFK 17:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.