Я ищу информацию о защите веб-сайта. Веб-сайт - это своего рода консоль управления, к которой можно получить доступ через веб-браузер. Консоль в настоящее время доступна только во внутренней сети, но я хочу сделать ее доступной через Интернет, только для некоторых конкретных пользователей/устройств.Защита http-соединения
Первой проблемой, с которой я столкнулся, является то, что консоль управления вообще не предоставляла аутентификацию. Чтобы преодолеть эту проблему, я установил apache, который я использую как прокси-сервер (обратный?), И в котором я включил базовую аутентификацию, поэтому теперь я должен ввести имя пользователя и пароль, прежде чем я смогу получить доступ к консоли.
То, что я хочу сделать дальше, состоит в том, чтобы не допустить, чтобы имя пользователя и пароль отправлялись по строке в виде обычного текста (я предполагаю, что это происходит сейчас). Я думаю, что я должен сделать это https-соединение для этого, но я нахожу так много информации об этом, так что я немного потерял, как продолжить. Могу ли я сделать эту работу с самоподписанными сертификатами или мне нужно покупать сертификаты где-нибудь?
Простейший вариант - это, вероятно, купить его, чтобы он работал над большинством/всеми типами клиентов прозрачно. Самостоятельно подписанные сертификаты - это особенно хлопот, если вам нужно распространять их среди различных мобильных клиентов. Если клиенты не могут подтвердить сертификат, зная, что сертификат или ваш собственный сертификат, в принципе нет защиты от атак типа «человек-в-середине». –