Рейтинг:2

Я не уверен, защищена ли базовая аутентификация на моем сервере

флаг cn

Это может быть действительно глупый вопрос, но я должен был убедиться, что я в порядке с этим.

Я устанавливаю HTTPS-сервер с базовой аутентификацией, но браузер сообщает мне, что соединение не защищено, когда я подключаюсь к странице аутентификации, и сообщает мне, что соединение защищено после входа в систему. Я хочу знать, безопасно ли это, и если нет, то как я могу сделать его безопасным?

Конфигурация (NGINX):

сервер {
    слушать 80;
    имя_сервера sub.example.com;

    вернуть 301 https://$server_name$request_uri;
}

сервер {
    слушать 443 ssl http2;
    имя_сервера sub.example.com;

    ssl_ceerificate (путь сертификата);
    ssl_certificate_key (путь_сертификата);
    ssl_trusted_certificate (другой путь);
    ssl_dhparam (дхпарам);

    ssl_protocols TLSv1.2 TLSv1.3;                                                                                                                                          
    ssl_prefer_server_ciphers включен;                                                                                                                                           
    ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES122-$GCM-SHA
    ssl_ecdh_curve secp384r1;                                                                                                                                               
    ssl_session_timeout 10 м;                                                                                                                                                
    ssl_session_cache общий: SSL: 10 м;                                                                                                                                       
    ssl_session_tickets выключен;                                                                                                                                                
    ssl_stapling включен;                                                                                                                                                        
    ssl_stapling_verify включен;                                                                                                                                                 

    add_header X-Content-Type-Options "nosniff" всегда;                                                                                                                     
    add_header X-Frame-Options «SAMEORIGIN» всегда;                                                                                                                         
    add_header X-XSS-защита "1; режим = блок"                                                                                                                                                            

    место расположения / {                                                                                                                                                    
        auth_basic 'Здесь не на что смотреть';                                                                                                                                                                                                

        прокси_пароль http://localhost:4000/;                                                                                                                     
    }
}

Скриншот

флаг us
У вас установлены надлежащие сертификаты?
Jungroy avatar
флаг cn
@TeroKilkanen да, у меня установлен сертификат letsencrypt, и хром тоже распознает его после входа в систему.
digijay avatar
флаг mx
Вы добавили базовую аутентификацию на зашифрованный хост или на незашифрованный (порт 80)? Пожалуйста, поделитесь файлами конфигурации.
Jungroy avatar
флаг cn
@digijay каждый HTTP-запрос перенаправляется на https, поэтому базовая аутентификация находится на https-сервере, я поделюсь конфигурацией как можно скорее
Michael Hampton avatar
флаг cz
Какое настоящее имя хоста?
Michael Hampton avatar
флаг cz
Да, мы _предпочитаем_ размещать реальную информацию, когда это возможно, поскольку во многих случаях это значительно облегчает диагностику.
Michael Hampton avatar
флаг cz
Например: `curl: (7) Не удалось подключиться к порту 443 omv.jungroy.codes: Отказано в соединении` Ваш веб-сервер работает? Вы удалили конфигурацию https?
Jungroy avatar
флаг cn
@MichaelHampton О, я отрицал все, кроме своего IP, я не могу этого допустить
Jungroy avatar
флаг cn
@MichaelHampton, теперь ты можешь завить его
Michael Hampton avatar
флаг cz
Кажется, все работает нормально.
Jungroy avatar
флаг cn
О, спасибо, что заглянули!
Рейтинг:3
флаг cz

Ваша конфигурация выглядит нормально; это браузер плохо себя ведет.

Ваш сайт правильно перенаправлен на https, и базовый запрос авторизации был отправлен вам по https. Но браузер не обновлял адресную строку перед появлением диалогового окна. Интересно, что я смог увидеть такое поведение как в Chrome, так и в Firefox. Возможно, это связано с тем, что браузер запросил учетные данные до того, как (с его точки зрения) загрузка страницы была завершена? Это вопрос к разработчикам браузера.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.