Estamos construyendo un servicio web que solo serán consultados por otros servidores en nuestra red privada . Yo estaba sugiriendo que pusiéramos ese servicio web a través de https y usáramos la autenticación SSL del cliente o una contraseña que enviaríamos con cada solicitud para proteger el acceso no autorizado al servicio web.
El servicio web puede modificar los datos de nuestras bases de datos, por lo que si un atacante pudiera acceder a él, podría modificar nuestros datos importantes. Entonces, pensé que era importante protegerlo correctamente, pero cuando hablé con el administrador de la red, descartó mis preocupaciones por paranoia y dijo que el servicio web estará en http sin ninguna autenticación. Su argumento es que el servicio web está en nuestra red privada y detrás de un firewall, por lo que no necesitamos ninguna otra protección.
No estoy seguro de qué pensar ... ¿Debería preocuparme de que tengamos un servicio web a través de http sin ninguna autenticación?
EDIT
¿Sería suficiente usar una contraseña sin TLS ya que está en una red privada? El "problema" realmente parecía estar perdiendo el tiempo para configurar TLS para "nada".