Oh è ancora dietro un proxy inverso, ho appena trovato un modello e alcuni modi diversi per gestire Discourse. Utilizzando ancora il metodo di installazione ufficiale.

A breve creerò una guida. Nel caso in cui qualcun altro abbia bisogno di usarla o io possa averne bisogno di nuovo LOL.

C’è solo un piccolo problema poiché la mia installazione non utilizza la SSL letsencrypt. Il link di attivazione via email inviato aveva http invece di https. C’è un reindirizzamento da tutto http a https ma vorrei forzare https dal backend in modo che tutti i link abbiano https e non http.

EDIT: l’ho trovato

FORZA SSL

DISCOURSE_FORCE_HTTPS: true

Eh… hai un proxy inverso in uso, quindi perché dovresti inviare https al backend?

Impostare force https dice a discourse di fare tutti i riferimenti a se stesso https.

Sì, ma questo non risponde alla domanda sul perché.

Serve a mantenere la connessione crittografata.

WAN → Reverse Proxy = HTTPS
Reverse Proxy → Backend = HTTPS

In questo modo, se per qualche motivo qualcuno avesse accesso alla mia sala server, non potrebbe semplicemente collegare un cavo Ethernet e vedere il traffico chiaramente. La connessione avrebbe comunque HTTPS e renderebbe la vita un po’ più difficile per l’intruso. Mi piace avere la mia catena completamente HTTPS. Non WAN HTTPS → Reverse Proxy HTTP → backend.

Altrimenti sarebbe semplicemente una sicurezza da guscio d’uovo.

Zero Trust, anche se ti conosco da 10 anni+.

Giusto, se non hai fiducia a tal punto da spostarti in una rete privata, o non riesci a costruire una rete sicura dopo che il reverse proxy funge da guardiano.

È tutto il più sicuro possibile.

Non hai notato che la maggior parte delle fughe proviene sempre dall’interno. In questo modo so che la sicurezza del mio server è a prova di proiettile e l’unica vulnerabilità sarebbero gli esseri umani e i miei dipendenti lo capiscono al 100%.

Ho alcuni utenti cloud di alto profilo e se i loro dati dovessero uscire per qualche miracolosa ragione, sapendo che la sicurezza del mio server è a prova di proiettile. Posso quindi controllare le telecamere e sapere esattamente chi sarebbe la causa della fuga di dati.

Penso che AWS faccia in modo simile, da quello che ho visto. La vulnerabilità umana dovrebbe sempre essere una priorità. Non importa quanto sia sicuro il tuo server. Un’unica chiavetta USB e tutto è finito.

Perché se non lo fai, ad esempio, invierà link via email che puntano a http anziché https, o link a immagini con http anziché https. È attivo per impostazione predefinita se discourse può dire che è https; non sono abbastanza sicuro del perché non sia l’impostazione predefinita a questo punto, poiché Discourse per lo più non funziona se ci sono collegamenti http.

Non si tratta della connessione tra il reverse proxy e Discourse, ma dei collegamenti che discourse crea a se stesso.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.