首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
lfzyx
V2EX  ›  NGINX

只是 nginx 开启 ssl ,后端的 tomcat 不用 ssl,这样有安全风险吗?

  •   
  •   lfzyx ·
    lfzyx · 2014 年 7 月 2 日 · 6504 次点击
    这是一个创建于 4218 天前的主题,其中的信息可能已经有所发展或是发生改变。
  • SSL
  • Nginx
  • tomcat
    11 条回复    2014-07-03 20:37:12 +08:00
    yueyoum
        1
    yueyoum  
       2014 年 7 月 2 日
    tomcat 监听 127.0.0.1 或者 部署在 内网机器上, 就是安全的
    jimrok
        2
    jimrok  
       2014 年 7 月 2 日
    一定程度,如果nginx被攻破,还是可以监听到tomcat的内容的。
    wdlth
        3
    wdlth  
       2014 年 7 月 2 日
    不用https应该是可以嗅探到的,最好还是双方都https,就像Google PageSpeed Service SSL。
    a2z
        4
    a2z  
       2014 年 7 月 2 日   ❤️ 1
    @jimrok
    nginx被攻破,后面用了ssl还是可以监听到。
    jimrok
        5
    jimrok  
       2014 年 7 月 2 日
    @a2z 做中间人的话,如果客户端验证证书是不是就无法连接成功了?
    a2z
        6
    a2z  
       2014 年 7 月 2 日
    @jimrok
    不是中间人,实际上是这样的

    客户端 SSL加密--->Nginx SSL解密--->NGINX作为客户端SSL加密---->Tomcat SSL解密
    ^
    |
    |
    |
    |
    SSL added and removed here :)
    a2z
        7
    a2z  
       2014 年 7 月 2 日
    @a2z
    中间那个竖线在nginx ssl解密后,再次加密发到tomcat前
    izoab
        8
    izoab  
       2014 年 7 月 2 日
    @a2z 可是如果NG都被攻破了,那就算后面用的是SSL,貌似想听包或者做中间人也不是什么太大难度的事了,比如改回源目标
    sharpnk
        9
    sharpnk  
       2014 年 7 月 2 日   ❤️ 1
    你有两把一模一样的锁。一把锁了大门,一把锁住卧室。两把同时锁给你带来的更多的是心理上的安慰。
    jimrok
        10
    jimrok  
       2014 年 7 月 3 日
    @izoab ssl一般是要校验证书的,你攻破nginx,但你没有tomcat上的ssl证书,客户端验证你的证书信息时候肯定出错。
    duzhe0
        11
    duzhe0  
       2014 年 7 月 3 日
    nginx是怎么被攻破的?为什么nginx被攻破了,tomcat就不会被攻破了?
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   2687 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 00:19 · PVG 08:19 · LAX 16:19 · JFK 19:19
    ♥ Do have faith in what you're doing.