У меня есть машина с Apache и сервером Node.js. Трафик направляется через Apache с использованием mod_proxy вот так:
<VirtualHost *:443>
ServerName example.com
ProxyPass / http://localhost:3000 #Node.js application
...
(cert info)
...
</VirtualHost>
И сервер Node.js запускается с:
http.createServer(app).listen(process.env.PORT || 3000)
// As opposed to https.createServer...
Поскольку первоначальный запрос выполняется через HTTPS, остается ли трафик безопасным, даже если он передается предположительно небезопасному приложению? Я не могу представить, что запрос будет открыт между Apache и Node, не так ли? Я предполагаю, что если все запросы (даже от узла к самому себе) выполняются через https://example.com они будут в безопасности.
Я не могу представить, что запрос будет открыт между Apache и Node, не так ли?
Что ж, да, но поверхность небольшая и на самом деле не хуже, чем apache, передающий ее другому демону (например, php-fpm) в системе.
Помните, что localhost (127.0.0.1) - это интерфейс обратной связи в системе. Если кто-то может отслеживать трафик на этом интерфейсе, значит, он уже в вашей системе.