Client: https//domain.com:443 ==> CDN: http://domain.com:1024 ==> 源站
1 浏览器通过 https//domain.com:443 https 地址进行访问
2 CDN 通过 http://domain.com:1024 http 地址进行回源
如果要使用这种模式开发基金理财(安全要求高)网站.
问 1: 想请教下这种 CDN 通过非 https 回源(源站在阿里云)的模式现实中会有被劫持的情况吗? 有其他安全隐患吗?
问 2: 这种模式普遍吗 ?
 |
1
ivyliner May 25, 2017  1
会被劫持, 你源站也支持 HTTPS 就好了, 为什么要想着 HTTP 回源?
|
 |
2
BOYPT May 25, 2017
可能存在 ISP 间劫持的情况。
|
 |
3
wclebb May 25, 2017 via iPhone
我不懂这些东西,但如果我是骇客(黑客)研究下,我是不是只要俘获到 Http 源头的 IP,然后从中获取信息就可以了呢?
|
 |
4
chenset OP |
 |
6
morethansean May 25, 2017
@chenset 即便你觉得不会被查到源头,但 ISP 之间劫持还是很常见啊……
|
 |
7
akafeng May 25, 2017
服务端处理 HTTPS 很慢 ? 这什么奇怪的服务端, 理论上就算是 1 核带个 SSL 没什么问题吧
|
|
8
chenset OP @morethansean CDN 到云主机商这种不是普通的民用线路, 运营商也会这么无耻的劫持吗 ? 通常不是发生在民用电脑走宽带到 http 服务器才导致的劫持吗
|
|
13
BOYPT May 25, 2017 1
|
 |
14
tony1016 May 25, 2017 1
CDN 到你源站是专线??否则源站还不是会在互联网上
|
 |
16
laxenade May 25, 2017
扫一下端口就拿到 http 了。倒是可以在服务端设置一下只允许 xxx.xxx.xxx.xxx 访问(假设 edge 的 ip 是有规律的)。
|
 |
17
lyhiving May 25, 2017 via Android
被破的几率已经很低
|
 |
23
baskice May 25, 2017 2
@chenset 早些时候劫持广告还没有这么疯狂,后来+-为了监视内容要求全部 isp 都上监测系统却不给钱,这部分开销就由这套系统顺带的查广告功能解决。只是现在越来越不要脸插广告插得越来越疯狂了
|
 |
24
Showfom PRO 2
只要你对 CDN 厂商到你源站之间的网络有信心,那就没问题,如果可以走内网,那就更没问题了,比如 cloudflare 就可以对 GCP 的机器走内网,需要申请
https://www.cloudflare.com/integrations/google-cloud/ |
|
25
laxenade May 25, 2017
@chenset #18 不一定是有针对性得扫。总有些人无聊喜欢没事扫服务器,比如把整段 ip 都扫一遍。特别是那些没有 VPC 的服务商的 ip(没错我就是在说 Digital Ocean)
|
 |
26
RqPS6rhmP3Nyn3Tm May 25, 2017 via iPhone
一个域名不可以指向两个 IP 吧?
|
 |
27
goodryb May 25, 2017
不知道这样是否够安全 Client --https-->CDN --( https )-->SLB --( http+内网)-->VPC ( ECS )
|
Select Language