Tengo muchas aplicaciones instaladas en mi servidor que usan una interfaz webui para controlar la aplicación.
Ya que soy el único usuario del servidor, generalmente vinculo estas aplicaciones a 127.0.0.1.
Como los servicios están vinculados a localhost, asumí que puedo deshabilitar la autenticación (generalmente el nombre de usuario y la contraseña), para estas aplicaciones, porque nadie fuera de mi máquina local puede acceder a los servicios.
Accedo a los servicios utilizando un túnel SSH; así que, esencialmente, me da acceso a los servicios locales del servidor desde cualquier máquina.
Un ejemplo: instalé BitTorrent Sync. La aplicación utiliza un webui que enlace a 127.0.0.1. Luego deshabilito la autenticación de nombre de usuario y contraseña para este webui, y accedo a él utilizando un túnel SSH desde mi ubicación remota.
Mi pregunta es, ¿es esto seguro? ¿Sería una mejor práctica habilitar el esquema de autenticación de la aplicación? (Supongo que no, ya que está vinculado localhost). ¿Es posible que un atacante de alguna manera falsifique 127.0.0.1 y obtenga acceso?