¿Alguna vez ha habido un caso de espionaje de CDN en el tráfico HTTPS con proxy?

Question

¿Alguna vez ha habido un caso de espionaje de CDN en el tráfico HTTPS con proxy?

#1 de Tom (1 votos)
#2 de Ángel (0 votos)

1

Mi pregunta es sobre los CDN. Como lo entiendo, el flujo de datos se ve así:

browser == (https) == > CDN == (https) == > originServer

En teoría, esta configuración debería proporcionar un tiempo de recuperación más rápido para los archivos .html, .js, .css y .png estáticos que conforman mi aplicación. Todos estos elementos son estáticos y no confidenciales, por cierto. Desde la perspectiva del usuario, viven en enlace .

Pero también hay datos dinámicos que se intercambian a través de enlace . Ese contenido en realidad es confidencial y me gustaría protegerlo de los ojos curiosos. Se me ocurre que cualquier empleado que trabaje en el CDN podría leer el contenido confidencial de 'ajax-www' si así lo desea, viendo que el punto principal del CDN (como lo entiendo) es actuar como un punto de terminación de HTTPS. almacenar datos en caché cuando sea posible, y pasarlos.

Por supuesto, podría sortear el CDN por completo para las llamadas ajax-www. Después de todo, los datos en cuestión son dinámicos y no se pueden almacenar en caché de todos modos. Pero luego revelaría la ubicación del servidor de origen al mundo exterior y, lo que es más importante, perdería la protección DDOS que proporciona la CDN.

La discusión recomienda que se eviten los CDN para datos específicos de la sesión, pero ¿hay una alternativa viable?

¿Esto es algo por lo que vale la pena preocuparse? ¿Alguna vez ha habido un caso (conocido) de una CDN que indaga en el tráfico de clientes, ya sea por su propia voluntad o como resultado de la presión del gobierno? La búsqueda casual no aparece nada. Las CDN parecen ser consideradas irreprochables. Pero simplemente pensé que preguntaría: el CDN específico que se está considerando está basado en Dubai, por lo que no tendríamos ningún recurso si ocurriera una indagación.

Lo siento por la naturaleza básica de esta pregunta. Soy algo nuevo en estas cosas. Espero escuchar sus pensamientos.

tls man-in-the-middle

pregunta Festus Martingale 20.01.2017 - 23:48

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls man-in-the-middle

¿Está cambiando las extensiones de archivo en la carga de archivos PHP para evitar la ejecución del código? Servidor con soporte para claves EC y RSA

score 1 · Answer 1

Si no confías en el CDN, no lo uses.
No tiene absolutamente ninguna forma de saber si el CDN lee sus datos o no. El CDN probablemente lee los datos, para mitigar los ataques.
Si los datos requieren un alto nivel de protección, use un CDN en su jurisdicción.
Si los datos requieren un nivel de protección medio, podría pasar por alto la CDN y, si está bajo un ataque DDOS, cambie a la CDN (cambie su back-end a otra IP)
Para datos estáticos, puede usar un CDN menos confiable si:
- use SRI para garantizar la integridad de sus recursos
- enmascare a su remitente para preservar la privacidad de su visitante (por ejemplo: <meta name="referrer" content="origin"> )

score 0 · Answer 2

browser == (https) == > CDN == (https) == > originServer

a la derecha

Por cierto, todos estos elementos son estáticos y no confidenciales.

Sin embargo, todavía necesitan integridad. El CDN no reemplazará el js original con uno que robe los datos secretos.

Por supuesto, podría sortear el CDN por completo para las llamadas ajax-www. Después de todo, los datos en cuestión son dinámicos y no se pueden almacenar en caché de todos modos.

Esto es razonable.

Pero luego revelaría la ubicación del servidor de origen al mundo exterior

Esto podría ser un proxy inverso a otro servidor y / o podría tener más servidores de origen no listados aparte de este.

Sin embargo, tenga en cuenta que probablemente será relativamente fácil averiguar dónde está su servidor.

y, lo que es más importante, perdería la protección DDOS que proporciona la CDN.

La mayoría de los DDOS probablemente atacarían el servidor principal en lugar del servidor debido a una negligencia al iniciarlos, pero ese es el precio de habilitar esta función.

Tal vez pueda preguntarle a su CDN si admite el túnel de tráfico cifrado para ese dominio a su servidor de origen sin romper realmente la sesión https. Eso ocultaría su IP y quizás aún puedan hacer algo de protección DDOS (más limitada).

Básicamente, quiere dos objetivos opuestos al mismo tiempo, por lo que necesita alcanzar un compromiso que se adapte a las necesidades de su negocio.

Los CDN parecen considerarse irreprochables.

Un CDN que haga esto probablemente saldrá del negocio bastante rápido

el CDN específico que se está considerando está basado en Dubai, por lo que no tendríamos ningún recurso si ocurriera una indagación.

Si esto es un problema, también debe tener en cuenta a otros proveedores con presencia local.