HTTP paranoia / preocupación

Navega tus respuestas
1

Actualmente estoy creando un sitio web personal "local". No planeo la navegación portuaria para hacerla accesible a los que están fuera de mi red. ¿Será eso lo suficientemente bueno para la seguridad, qué pasa con las personas en la misma red local que yo, cómo puedo bloquear el acceso de otras PC a mi sitio web o protegerlo con contraseña?

Creo que HTTPS no es necesario para este tipo de configuración debido a que es un sitio web local, pero tengo conexión a muchas API: API de Google Maps, API de Facebook, etc. ¿Se puede comprometer mi sitio sin tener HTTPS? / p>     

pregunta Thomas Byerly 01.09.2016 - 19:49
fuente

4 respuestas

2

¿Red local o máquina local? Para este último, enlace a localhost solo para el servidor web, la base de datos y tal. Si está ejecutando la aplicación en una LAN en un servidor remoto, entonces HTTPS no es tan extraño. Dependiendo de la amenaza que espere, cree una política de acceso en el servidor web.

    
respondido por el Yorick de Wid 01.09.2016 - 19:53
fuente
0

Si no está compartiendo el sitio web con personas fuera de la red, asegúrese de tener los controles de red adecuados (ACL) establecidos para garantizar que los usuarios externos no puedan acceder a él.

El problema de los protocolos de texto simple (HTTP en lugar de HTTPS) es que un usuario de la red local podría realizar un ataque Man-in-The-Middle, secuestrando el tráfico entre su sitio web y sus usuarios. Si su sitio web contiene información "confidencial", probablemente debería considerar encriptar esa comunicación.

Las API que utiliza no son una preocupación tan grande, teniendo en cuenta que todos los scripts que cargue desde hosts externos tienen los mismos derechos en el mismo contexto que su contenido activo (como Javascript).

    
respondido por el ndrix 01.09.2016 - 20:27
fuente
0

En pocas palabras, usted no planea hacer que sea accesible al mundo exterior, pero aún podría suceder (por ejemplo, alguna otra máquina que tenga acceso a LAN que esté en peligro).

Solo usted puede hacer una evaluación de riesgo para su caso, es decir, calcular qué posibilidades hay de que ocurra algo malo y qué tan malo es lo peor que puede suceder, y de allí derivar cuánto esfuerzo (si lo hay) está dispuesto a realizar. poner para evitar que esto suceda (y / o asegurar contra)

    
respondido por el Matija Nalis 01.09.2016 - 21:13
fuente
0

HTTPS es necesario si hay puntos de acceso potenciales a la red. Para un sitio con acceso a Internet, se recomienda altamente .

Si su servicio es localhost , entonces obviamente no existe tal preocupación, porque no hay red.

Si el servicio solo está disponible en la LAN, debe preguntar el nivel de seguridad de esa red antes de ejecutar un servicio HTTP (inseguro).

  • ¿Están todos los cables de red protegidos físicamente de posibles atacantes que pueden querer escuchar o secuestrar la conexión HTTP?

  • Si tiene WiFi, entonces ¿qué tan bien guardada está la contraseña cuando un invitado pregunta '¿Puedo usar su WiFi'? ¿También está configurado de forma segura el WiFi?

  • ¿Todas las computadoras con acceso a la red están bien protegidas y son operadas por usuarios competentes?

Así que ahí lo tienen, considere estas cosas y sabrá si un protocolo inseguro es aceptable.

    
respondido por el George Bailey 01.09.2016 - 21:21
fuente

Lea otras preguntas en las etiquetas

¿Debo tener dos cuentas en mi NAS (ej .: Bob como usuario y Poseidon como administrador, ambas controladas por mí)? Haciendo versiones de Apache