Nuestros desarrolladores estrellas han agotado sus provisiones de café, investigando a tiempo completo por la solución, hasta que Abraham encontró la solución en Gogs y ahora la comparte contigo.
Solución:
Al no usar TLS, está renunciando a la integridad y confidencialidad. Su conexión puede ser monitoreada o alterada y no hay nada allí que garantice que el punto final es quien dice ser.
- Un atacante interno puede interponerse en su conexión http leyendo y alterando datos.
- Un empleado podría ser atacado a través de phishing y un ataque de reenlace de DNS podría usarse en su contra para acceder a este recurso y obtener documentos. Como ya están dentro de su red, la solicitud eludiría su firewall. Sin embargo, esto requiere que el atacante tenga conocimiento de su red.
Desafortunadamente, vivimos en una época en la que usted deber asuma que ha sido violado, así que planifique sus controles de seguridad en torno a esto.
HTTPS se utiliza para proteger la conexión contra el rastreo, la manipulación y contra la suplantación de un punto final. El grado de necesidad de esta protección en su red local depende de cuánto pueda confiar en su red. Como siempre, no existe una seguridad absoluta, sino que hay que encontrar un equilibrio entre la seguridad alcanzable y el riesgo restante teniendo en cuenta la cantidad de recursos (dinero, tiempo, personas) necesarios para aumentar la seguridad.
Por ejemplo, si tiene una red local en la que una persona que no es de total confianza (o una máquina comprometida) podría usar la suplantación de identidad ARP o DHCP para redirigir el tráfico, entonces el uso de HTTPS en la red interna podría usarse para proteger el tráfico de todos modos. Pero tal vez una mejor inversión sería aumentar la seguridad general de la red en tales casos. Si, en cambio, todas las máquinas en la red están debidamente autenticadas y IPSec ya se usa para proteger la comunicación en una capa más baja, es menos necesario agregar HTTPS encima de esto. Pero todavía se puede usar como una medida de defensa en profundidad, especialmente si la protección de capa inferior (IPSec) está administrada por diferentes departamentos o se rige por diferentes requisitos de seguridad que la protección de nivel superior (HTTPS).
Al final de la artículo puedes encontrar las aclaraciones de otros desarrolladores, tú incluso tienes la habilidad mostrar el tuyo si lo deseas.