paranoia HTTP / preoccupazione

Naviga le tue risposte
1

Attualmente sto creando un sito web "locale" personale. Non ho in programma di port forwarding per renderlo accessibile a quelli al di fuori della mia rete. Sarà abbastanza buono per la sicurezza, per quanto riguarda le persone sulla stessa rete locale di me, come posso impedire ad altri PC di accedere al mio sito web o proteggerlo con una password?

Ritengo che HTTPS non sia necessario per questo tipo di configurazione poiché si tratta di un sito Web locale, ma ho connessioni a molte API: API di Google Maps, API di Facebook, ecc. Il mio sito può essere compromesso senza HTTPS?

    
posta Thomas Byerly 01.09.2016 - 19:49
fonte

4 risposte

2

Rete locale o macchina locale? Per quest'ultimo, eseguire il binding a localhost solo per il server Web, il database e così via. Se si sta eseguendo l'applicazione in una LAN su un server remoto, HTTPS non è strano. A seconda della minaccia che ti aspetti, crea un criterio di accesso sul server web.

    
risposta data 01.09.2016 - 19:53
fonte
0

Se non condividi il sito web a persone esterne alla rete, assicurati di disporre di adeguati controlli di rete (ACL) per garantire che gli utenti esterni non possano accedervi.

Il problema dei protocolli di testo non crittografato (HTTP anziché HTTPS) è che un utente della rete locale potrebbe eseguire un attacco Man-in-The-Middle, dirottando il traffico tra il tuo sito web e i suoi utenti. Se il tuo sito web contiene informazioni "sensibili" su di esso, dovresti probabilmente prendere in considerazione la crittografia di tale comunicazione.

Quali API utilizzate non sono un problema, tenendo presente che tutti gli script caricati da host esterni hanno gli stessi diritti nello stesso contesto del contenuto attivo (come Javascript).

    
risposta data 01.09.2016 - 20:27
fonte
0

Pehaps tu non hai intenzione di renderlo accessibile al mondo esterno, ma potrebbe ancora succedere (ad esempio, qualche altro computer che ha compromesso l'accesso alla LAN).

Solo tu puoi fare la valutazione del rischio per il tuo caso - cioè, calcolare quante probabilità di accadimento e cosa brutta è la cosa peggiore che può accadere - e da lì derivare quanto (se c'è) sforzo sei disposto a inserire per evitare che accada (e / o assicurando contro)

    
risposta data 01.09.2016 - 21:13
fonte
0

HTTPS è necessario se ci sono potenziali punti di accesso alla rete. Per un sito rivolto a Internet, HTTPS è altamente consigliato.

Se il tuo servizio è localhost , ovviamente non c'è alcun problema, perché non c'è rete.

Se il servizio è disponibile solo sulla LAN, è necessario chiedere il livello di sicurezza di quella rete prima di eseguire un servizio HTTP (non sicuro).

  • Tutti i cavi di rete sono fisicamente protetti da potenziali aggressori che potrebbero voler intercettare o intercettare la connessione HTTP?

  • Se disponi di WiFi, quanto è ben tenuta la password quando un ospite chiede "Posso utilizzare il WiFi"? Inoltre è il Wi-Fi configurata in modo sicuro?

  • Tutti i computer con accesso alla rete sono ben protetti e gestiti da utenti competenti?

Quindi ce l'hai, considera queste cose e saprai se un protocollo non sicuro è accettabile.

    
risposta data 01.09.2016 - 21:21
fonte

Leggi altre domande sui tag

Qual è la relazione tra ANSI e ISO per quanto riguarda ISO 27000? DoSing Versioni di Apache