源站提供 HTTP, 再由 CDN 反代后提供 HTTPS 服务. 这种模式安全吗?
chenset · 2017-05-25 08:59:50 +08:00 · 2821 次点击这是一个创建于 2744 天前的主题,其中的信息可能已经有所发展或是发生改变。
Client: https//domain.com:443 ==> CDN: http://domain.com:1024 ==> 源站
1 浏览器通过 https//domain.com:443 https 地址进行访问
2 CDN 通过 http://domain.com:1024 http 地址进行回源
如果要使用这种模式开发基金理财(安全要求高)网站.
问 1: 想请教下这种 CDN 通过非 https 回源(源站在阿里云)的模式现实中会有被劫持的情况吗? 有其他安全隐患吗?
问 2: 这种模式普遍吗 ?
 |
1
ivyliner 2017-05-25 09:03:43 +08:00  1
会被劫持, 你源站也支持 HTTPS 就好了, 为什么要想着 HTTP 回源?
|
 |
2
BOYPT 2017-05-25 09:05:49 +08:00
可能存在 ISP 间劫持的情况。
|
 |
3
wclebb 2017-05-25 09:07:23 +08:00 via iPhone
我不懂这些东西,但如果我是骇客(黑客)研究下,我是不是只要俘获到 Http 源头的 IP,然后从中获取信息就可以了呢?
|
 |
4
chenset OP |
 |
6
morethansean 2017-05-25 09:17:40 +08:00
@chenset 即便你觉得不会被查到源头,但 ISP 之间劫持还是很常见啊……
|
 |
7
chinafeng 2017-05-25 09:25:53 +08:00
服务端处理 HTTPS 很慢 ? 这什么奇怪的服务端, 理论上就算是 1 核带个 SSL 没什么问题吧
|
|
8
chenset OP @morethansean CDN 到云主机商这种不是普通的民用线路, 运营商也会这么无耻的劫持吗 ? 通常不是发生在民用电脑走宽带到 http 服务器才导致的劫持吗
|
|
10
chenset OP @chinafeng 我也各种测试啊, 始终搞不掂. http 能达到 600qps https 就只有 200 了.
|
|
13
BOYPT 2017-05-25 09:31:17 +08:00 1
|
 |
14
tony1016 2017-05-25 09:32:19 +08:00 1
CDN 到你源站是专线??否则源站还不是会在互联网上
|
 |
16
laxenade 2017-05-25 09:59:27 +08:00
扫一下端口就拿到 http 了。倒是可以在服务端设置一下只允许 xxx.xxx.xxx.xxx 访问(假设 edge 的 ip 是有规律的)。
|
 |
17
lyhiving 2017-05-25 10:02:57 +08:00 via Android
被破的几率已经很低
|
 |
23
baskice 2017-05-25 10:53:11 +08:00 2
@chenset 早些时候劫持广告还没有这么疯狂,后来+-为了监视内容要求全部 isp 都上监测系统却不给钱,这部分开销就由这套系统顺带的查广告功能解决。只是现在越来越不要脸插广告插得越来越疯狂了
|
 |
24
Showfom 2017-05-25 11:32:11 +08:00 2
只要你对 CDN 厂商到你源站之间的网络有信心,那就没问题,如果可以走内网,那就更没问题了,比如 cloudflare 就可以对 GCP 的机器走内网,需要申请
https://www.cloudflare.com/integrations/google-cloud/ |
|
25
laxenade 2017-05-25 12:07:10 +08:00
@chenset #18 不一定是有针对性得扫。总有些人无聊喜欢没事扫服务器,比如把整段 ip 都扫一遍。特别是那些没有 VPC 的服务商的 ip(没错我就是在说 Digital Ocean)
|
 |
26
RqPS6rhmP3Nyn3Tm 2017-05-25 13:20:38 +08:00 via iPhone
一个域名不可以指向两个 IP 吧?
|
 |
27
goodryb 2017-05-25 15:55:49 +08:00
不知道这样是否够安全 Client --https-->CDN --( https )-->SLB --( http+内网)-->VPC ( ECS )
|
Select Language