V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
lfzyx
V2EX  ›  NGINX

只是 nginx 开启 ssl ,后端的 tomcat 不用 ssl,这样有安全风险吗?

  •  
  •   lfzyx ·
    lfzyx · 2014-07-02 17:48:06 +08:00 · 6067 次点击
    这是一个创建于 3823 天前的主题,其中的信息可能已经有所发展或是发生改变。
    11 条回复    2014-07-03 20:37:12 +08:00
    yueyoum
        1
    yueyoum  
       2014-07-02 18:02:04 +08:00
    tomcat 监听 127.0.0.1 或者 部署在 内网机器上, 就是安全的
    jimrok
        2
    jimrok  
       2014-07-02 18:05:20 +08:00
    一定程度,如果nginx被攻破,还是可以监听到tomcat的内容的。
    wdlth
        3
    wdlth  
       2014-07-02 18:52:27 +08:00
    不用https应该是可以嗅探到的,最好还是双方都https,就像Google PageSpeed Service SSL。
    a2z
        4
    a2z  
       2014-07-02 20:02:05 +08:00   ❤️ 1
    @jimrok
    nginx被攻破,后面用了ssl还是可以监听到。
    jimrok
        5
    jimrok  
       2014-07-02 20:20:01 +08:00
    @a2z 做中间人的话,如果客户端验证证书是不是就无法连接成功了?
    a2z
        6
    a2z  
       2014-07-02 20:33:30 +08:00
    @jimrok
    不是中间人,实际上是这样的

    客户端 SSL加密--->Nginx SSL解密--->NGINX作为客户端SSL加密---->Tomcat SSL解密
    ^
    |
    |
    |
    |
    SSL added and removed here :)
    a2z
        7
    a2z  
       2014-07-02 20:34:07 +08:00
    @a2z
    中间那个竖线在nginx ssl解密后,再次加密发到tomcat前
    izoab
        8
    izoab  
       2014-07-02 21:35:31 +08:00
    @a2z 可是如果NG都被攻破了,那就算后面用的是SSL,貌似想听包或者做中间人也不是什么太大难度的事了,比如改回源目标
    sharpnk
        9
    sharpnk  
       2014-07-02 21:35:42 +08:00   ❤️ 1
    你有两把一模一样的锁。一把锁了大门,一把锁住卧室。两把同时锁给你带来的更多的是心理上的安慰。
    jimrok
        10
    jimrok  
       2014-07-03 13:37:29 +08:00
    @izoab ssl一般是要校验证书的,你攻破nginx,但你没有tomcat上的ssl证书,客户端验证你的证书信息时候肯定出错。
    duzhe0
        11
    duzhe0  
       2014-07-03 20:37:12 +08:00
    nginx是怎么被攻破的?为什么nginx被攻破了,tomcat就不会被攻破了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1725 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:39 · PVG 00:39 · LAX 08:39 · JFK 11:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.