Sicherere NGINX-Authentifizierung als auth_basic

8

Ich habe versucht, die sicherste Authentifizierungsmethode für meinen Reverse-Proxy in NGINX zu finden. Ich habe ngx_http_auth_basic_modulebisher ohne Probleme verwendet, aber es gibt anscheinend einige offensichtliche Auswirkungen auf die Sicherheit bei diesem Setup . Die meisten dieser Sicherheitsbedenken sind kein allzu großes Problem, da meine Website ausschließlich mit SSL betrieben wird. Ich möchte es trotzdem so weit wie möglich sichern.

Gibt es alternative, überlegene Authentifizierungsmechanismen für NGINX?

Ich bin offen für alles; Dies ist kein öffentlicher Dienst.

Ryan Foley
quelle

Antworten:

4

NGINX verfügt über ein Digest-Authentifizierungsmodul: https://www.nginx.com/resources/wiki/modules/auth_digest/

Im Gegensatz zur Standardauthentifizierung werden bei der Digest-Authentifizierung keine Benutzernamen und Kennwörter im Klartext über das Internet gesendet.

Wenn Ihre Website SSL ist nur , dann die Standardauthentifizierung ist wahrscheinlich in Ordnung. Das SSL verschlüsselt die gesamte Sitzung einschließlich der Benutzernamen und Kennwörter.

Stephen Ostermiller
quelle
6

Obwohl die Frage 2 Jahre alt ist, möchte ich sie weiterhin beantworten.

Die Seite, die durch die akzeptierte Antwort verlinkt ist ( https://www.nginx.com/resources/wiki/modules/auth_digest/ ), ist 11 Jahre alt und gibt an, dass "... (es) zuvor umfassendere Tests benötigt kann als sicher genug für den Einsatz in der Produktion angesehen werden. "

Eine GitHub-Seite ( https://github.com/atomx/nginx-http-auth-digest ) ist ebenfalls verlinkt, und neuere Ratschläge (April 2017) der Autoren können darauf gefunden werden: "Das Modul ist derzeit funktionsfähig, hat aber nur wurde von seinem Autor getestet und überprüft. Und da dies ein Sicherheitscode ist, reicht ein Satz Augen mit ziemlicher Sicherheit nicht aus, um die 100% ige Richtigkeit zu gewährleisten. "

Mein Fazit ist also, dass die akzeptierte Antwort ein sehr interessantes Modul ergibt, das für die Sicherung sensibler Daten leider nicht ratsam ist.

Moi Jaiunvelo
quelle