




















这是一个创建于 1124 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在 CDN 上强制 HTTPS 用的是 LET'S ENCRYPT 证书 回源到 AWS 的 NLB 负载均衡的 443 端口
由 NLB 443 端口通过 TCP 协议 回到真正的源机上的 443 端口
源机上的 443 端口是有另外的 SSL 证书进行加密的
也就是说我整个构架如下
CDN-证书 1-AWSNLB-证书 2-源机
那么我想问的问题是在这种构架下 CDN 供应商 有没有可能在动态数据通讯的过程种窃取敏感信息
比如 www.xxx.com/login?user=111&password=222
在这种构架下有没有可能 111 和 222 被 CDN 供应商利用或者窃取
静态资源倒是无所谓
第 1 条附言 · 2023 年 5 月 17 日
大家不要访问该站。。。我随便乱打的不是有意的
1 v2wtf 2023 年 5 月 17 日当然有可能。你的 key 在他们机器里呢。 |
2 wafm 2023 年 5 月 17 日 via iPhone |
3 billlee 2023 年 5 月 17 日 via Android不需要分析得这么复杂,只要看你浏览器上显示的证书,如果是 CDN 的证书那他们就可以看到。 |
4 JustSong 2023 年 5 月 17 日 via Android擦,你贴的网址 nsfw 啊 |
5 dzdh 2023 年 5 月 17 日 |
9 busier 2024 年 6 月 14 日 via iPhone这类问题都可以统一回答 只要浏览器显示的网站证书不是你自己的服务器上部署的证书,那么就一定存在中间人攻击。 CDN 本质就是一种中间人攻击,只不过你信任它是善意的。 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。