Ah, ainda está atrás de um proxy reverso, acabei de encontrar um modelo e algumas maneiras diferentes de lidar com o Discourse. Ainda usando o método de instalação oficial.

Farei um guia em breve. Só por precaução, caso mais alguém precise usá-lo ou eu possa precisar usá-lo novamente, LOL.

Há apenas um pequeno problema, já que minha instalação não está usando o SSL letsencrypt. O link de ativação de e-mail enviado tinha http em vez de https. Há um redirecionamento de todo http para https, mas eu gostaria de forçar https do backend para que todos os links tenham https, não http.

EDIT: encontrei

FORÇAR SSL

DISCOURSE_FORCE_HTTPS: true

Eh… você tem um proxy reverso em uso, então por que enviaria https para o backend?

Definir force https diz ao Discourse para referenciar a si mesmo como https.

Sim, mas isso não responde à pergunta do porquê.

É para manter a conexão criptografada.

WAN → Proxy reverso = HTTPS
Proxy reverso → Backend = HTTPS

Dessa forma, se por algum motivo alguém tiver acesso à minha sala de servidores. Não poderá simplesmente conectar um cabo Ethernet e ver o tráfego claramente. A conexão ainda teria HTTPS e tornaria a vida um pouco mais difícil para o invasor. Gosto de ter minha cadeia HTTPS completa. Não WAN HTTPS → Proxy reverso HTTP → backend.

Caso contrário, isso seria simplesmente segurança de casca de ovo.

Zero Trust, independentemente de eu te conhecer há 10 anos+.

Justo, se você não confia a ponto de se mover para uma rede privada, ou se não consegue construir uma rede segura após um proxy reverso mantê-lo como um porteiro.

Tudo está o mais seguro possível.

Você não percebeu que a maioria dos vazamentos sempre vem de dentro. Desta forma, sei que a segurança do meu servidor é à prova de falhas e a única vulnerabilidade seriam os humanos, e meus funcionários entendem isso 100%.

Tenho alguns usuários de nuvem de alto perfil e, se os dados deles saírem por algum motivo milagroso, sabendo que a segurança do meu servidor é à prova de falhas, posso verificar as câmeras e saber exatamente quem seria a causa do vazamento de dados.

Acho que a AWS faz isso de maneira semelhante, pelo que vi. A vulnerabilidade humana deve ser sempre uma prioridade. Não importa o quão seguro seja seu servidor. Um pendrive e tudo acabou.

Porque se você não o fizer, ele enviará, por exemplo, links de e-mail que apontam para http em vez de https, ou para imagens com http em vez de https. Está ativado por padrão se o Discourse puder dizer que é https; não tenho certeza por que não é o padrão neste momento, já que o Discourse na maioria das vezes não funciona se houver algum link http.

Não se trata da conexão entre o proxy reverso e o Discourse, mas dos links que o Discourse cria para si mesmo.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.