Nginx Http Basic Auth Security

Question

因此，假设我在6000端口上托管了一些类似于netdata仪表板的东西。

然后我将它反向代理到子域netdata.domain.com。

而基本的auth则应用于nginx.conf以允许站点范围的保护。

我的问题是，由于我与netdata.domain.com的连接是http而不是https，所以我的数据没有加密。那么，在这种连接下，登录到nginx，基本上不会公开MITM攻击的密码吗？

但是如果我在真正的ip之间添加cloudflare，这就提供了一层代理，基本上增加了很多困难，对吗？

我不知道我的担心是否成立。

Answer 1

我的问题是，由于我与netdata.domain.com的连接是http而不是https，所以我的数据没有加密。那么，在这种连接下，登录到nginx，基本上不会公开MITM攻击的密码吗？

对，是这样。它完全是用明文发送的，任何在路上的人都可以读懂它。

但是如果我在真正的ip之间添加cloudflare，这就提供了一层代理，基本上增加了很多困难，对吗？

如果您将CF配置为需要TLS，则客户端和CF之间的连接将被加密。在CF和服务器之间是不会的。

是2021年。证书是免费的，并且在所有平台上都是微不足道的自动化的。不要在2021年通过HTTP部署身份验证。使用web服务器上的TLS配置它。