Connessione non crittografata al server - sicuro?

3

Sto usando heroku e cloudflare. Sto per pubblicare il mio sito web ma non voglio farlo senza SSL.

Ora ho sempre bisogno di un addon per heroku per aggiungere i miei certificati SSL che costa $ 20 al mese.

Cloudflare abilita SSL su DNS ma sono un po 'curioso. (Quindi non ho bisogno di ottenere l'addon di heroku e posso tranquillamente quei $ 20 al mese)

Quello che penso succederà sembra questo

(user)-> [https]-> (cloudflare ssl)-> [http]-> (myserver)

Questo non distruggerebbe completamente lo scopo di SSL?

Voglio dire, un altro utente può accedere alla connessione http non crittografata?

Update1:

Ho parlato con cloudflare e mi hanno detto che l'unico modo per le persone non autorizzate di ottenere i dati non crittografati è quello di hackerare i server cloudflare, quindi sono sul sito sicuro.

Qualcuno può confermarlo?

    
posta Maik Klein 05.09.2012 - 00:09
fonte

2 risposte

2

Non distrugge completamente lo scopo di SSL. Certamente offre alcuni vantaggi significativi, ma ha anche alcune limitazioni, come hai identificato correttamente.

I vantaggi: impedisce l'intercettazione di dati da parte dell'utente. Ad esempio, se l'utente si collega tramite WiFi aperto, la crittografia SSL su Cloudflare potrebbe essere di aiuto.

Le limitazioni: come tu e altri avete identificato correttamente, i dati vengono inviati in chiaro tra i server di Cloudflare e i vostri server. Pertanto, è aperto agli attacchi durante quel momento. Inoltre, una violazione della sicurezza dei server di Cloudflare potrebbe esporre i tuoi dati. Inoltre, a seconda di come Cloudflare lo fa, può essere difficile per gli utenti verificare la validità del certificato SSL fornito con il tuo dominio (potresti voler controllare se gli utenti devono cliccare sugli avvertimenti del cert e quale dominio è mostra nella barra degli indirizzi).

In conclusione: SSL attraverso Cloudflare è meglio di niente, ma non buono come la crittografia end-to-end che termina con la tua applicazione Heroku. Se è abbastanza buono per i tuoi scopi dipende da decisioni di gestione del rischio, come il livello di sicurezza della tua applicazione e la quantità di sicurezza necessaria.

    
risposta data 05.09.2012 - 08:43
fonte
2

Non è che CloudFlare non sia stato hackerato prima. Vedi questo . Inoltre, dal momento che SSL viene terminato su CloudFlare, ciò significa che i dati stanno andando in chiaro da CloudFlare a Heroku. Quindi chiunque nel percorso verso Heroku da CloudFlare può "vedere" i dati.

    
risposta data 05.09.2012 - 05:13
fonte

Leggi altre domande sui tag