如果您的后端应用程序使用 HTTP,会存在哪些安全问题?

如果您的后端应用程序使用 HTTP,会存在哪些安全问题?

我有一个可以从外部访问的前端应用程序,它使用 HTTPS。我有一个与前端在同一台计算机/服务器上运行的后端应用程序,它使用 HTTP。我无法将后端切换到 HTTPS,我的设置存在哪些安全问题?

答案1

实际上,那里可能没有太多的安全问题。使用 HTTPS 运行网站本身不会对网站的安全性产生任何影响,它为从用户到目标服务器的连接提供了安全性。

HTTPS 的 TLS/SSL 部分(或使用它的任何其他协议)本质上提供了两件事。1)客户端和服务器之间的安全隧道,以便两者之间的任何通信都不会在途中被拦截,例如在使用公共 wifi 时。2)连接到www.foo.com确实如此www.foo.com,并且有人未能将您的请求重定向至恶意服务器。

从这个角度来看,当您谈论的是本地内部网络时,尤其是当您使用有线网络时,风险就在于有权访问您网络的人是否会设置某种程序来窥探您到 Web 服务器的网络流量,或者毒害本地 DNS 以将服务器发送给其他人。这两种情况都不是不可能发生的,但是,如果有人以某种方式侵入了您的网络(无论是物理侵入还是通过受感染的设备),以至于他们可以做这两件事,那么您要担心的问题就比侵入 Web 服务器的流量要大得多。

然而,虽然没有太多的安全问题,但根据后端应用程序的访问方式和访问者,它可能是一个可用性问题。如果您尝试连接到未采用 HTTPS 安全保护的网站,大多数浏览器都会向您发出警告,有些浏览器根本不允许您连接或让您难以操作。如果只是某种管理 UI,那还好,但如果非技术人员广泛使用它,那就更成问题了。

相关内容