Google App Engine,容器内的 http 被认为是一个漏洞
Google App Engine, http inside container considered a vulnerablity
我们使用 Google App Engine 和提供的负载均衡器为我们的 API 请求执行 SSL 卸载,这些请求由 NodeJs 提供服务。第三部分是用Fortify判断,虽然外面是https,但是因为容器里面是http,所以被认为是漏洞。
我们阅读的所有内容都建议以这种方式设置环境。
这真的是一个漏洞吗?如果是的话,我们如何最好地缓解这个漏洞,而不必将付费证书添加到我们的 Node 应用程序中。
提前致谢
Is this really a vulnerability and if so, how would we best mitigate
against this without having to add paid certificates into our Node
app.
是的,HTTPS 到 HTTP 的代理是一个漏洞,因为数据在传输过程中被解密。但是,前端和您的应用程序之间的连接很难在 Google 数据中心之外利用。我不知道利用此项目的方法。
在云端和本地数据中心,HTTPS 到 HTTP 的代理非常流行。这offloadsCPU加解密的密集过程。
在安全方面,几乎总是存在需要记录的例外情况。这是其中之一。
对于你问题的第二部分,代理是 HTTPS -> HTTP。这意味着您不能将自己的 SSL 证书添加到后端代码中。如果这样做,您将遇到连接协议错误。
如果您必须缓解此问题,则必须 select 不同的服务并使用您配置和控制的 frontends/backends(网络 servers/proxies/load 平衡器)部署您的代码。
我们使用 Google App Engine 和提供的负载均衡器为我们的 API 请求执行 SSL 卸载,这些请求由 NodeJs 提供服务。第三部分是用Fortify判断,虽然外面是https,但是因为容器里面是http,所以被认为是漏洞。
我们阅读的所有内容都建议以这种方式设置环境。
这真的是一个漏洞吗?如果是的话,我们如何最好地缓解这个漏洞,而不必将付费证书添加到我们的 Node 应用程序中。
提前致谢
Is this really a vulnerability and if so, how would we best mitigate against this without having to add paid certificates into our Node app.
是的,HTTPS 到 HTTP 的代理是一个漏洞,因为数据在传输过程中被解密。但是,前端和您的应用程序之间的连接很难在 Google 数据中心之外利用。我不知道利用此项目的方法。
在云端和本地数据中心,HTTPS 到 HTTP 的代理非常流行。这offloadsCPU加解密的密集过程。
在安全方面,几乎总是存在需要记录的例外情况。这是其中之一。
对于你问题的第二部分,代理是 HTTPS -> HTTP。这意味着您不能将自己的 SSL 证书添加到后端代码中。如果这样做,您将遇到连接协议错误。
如果您必须缓解此问题,则必须 select 不同的服务并使用您配置和控制的 frontends/backends(网络 servers/proxies/load 平衡器)部署您的代码。