Docker ssl frontend backend?

Question

pertsev1983 @pertsev1983

Docker ssl frontend backend?

есть 2 докер контейнера( фронтенд и бэкенд ) в одной докер сети на одной физическоой машине будет ли безопасно если они будут общаться между собой без ssl?

Вопрос задан 02 сент.
187 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Valentin Barbolin @dronmaxman

будет ли безопасно если они будут общаться между собой без ssl?

Да.

Рассуждения
Что бы прослушать трафик внутри сервера надо его взломать, а если ты взломал сервер то скорее всего у тебя полные права, а с полными правами ты можеш изменить любые настройки.

То есть, теоритически использование ssl внутри сервера заставит злоумышленника раскрыть себя чтобы прослушать трафик, но не оставит его.

Стоит ли так заморачиваться с ssl? Все зависит от ТЗ.

Написано 02 сент.
shurshur @shurshur

К вышесказанному добавлю, что часто само разрабатываемое приложение не умеет SSL, вместо этого перед ним ставится reverse proxy (nginx, haproxy, traefik, envoy ид), который и предоставляет SSL, а между nginx (или другим веб-сервером) трафик всё равно не шифруется. До кучи, этот nginx может отдавать статику и скрипты фронта.

Чтобы по ТЗ требовать шифровать трафик в каждом прилоежнии, это должно быть что-то из области военки, гостайны или корпоративных данных супервысокой значимости, крупных финансов или что-то подобное. Обычному сайту такое ни к чему.

Написано 02 сент.
d-stream @d-stream

shurshur, добавлю:
даже очень критические данные - появляются требования TLS шифрования между подами например в кубере, но не внутри пода.

То есть требование шифрования между контейнерами может быть, если это реально проект "на вырост" и завтра эти контейнеры разъедутся во что-то куберообразное и даже могут оказаться в ряде случаев в разных геолокациях
Но в таких случаях шифрование реализуют не средствами приложений, а средствами надстроек над средой (к примеру истио в кубере)

Написано 03 сент.
d-stream @d-stream

Ну и да, в общем случае забиваемая в мозг обывателю мысль "без TLS опасно" - это некое лукавство.

Написано 03 сент.
shurshur @shurshur

d-stream, конечно, я и говорю, это должны быть сложные случаи, а тут два контейнера на локалхосте. Вообще, люди, которые пытаются внутри хоста в шифрование беспарольным ключом, который открыто лежит на файловой системе с правами 644 или даже 666, явно занимаются фигнёй.

Написано 04 сент.

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Laravel

+3 ещё

Простой
Почему php-fpm на все запросы выдает 404?
- 1 подписчик
- вчера
- 189 просмотров
0

ответов
Nginx

+1 ещё

Простой
Использование двух ssl на одном домене?
- 2 подписчика
- 25 сент.
- 323 просмотра
2

ответа
Цифровые сертификаты

Простой
Как разблокировать домен с ssl, который не работает после блокировки?
- 2 подписчика
- 15 сент.
- 305 просмотров
1

ответ
Цифровые сертификаты

+1 ещё

Средний
Сайт открывается по https только со второго раза?
- 1 подписчик
- 13 сент.
- 190 просмотров
1

ответ
Docker

Простой
Почему docker не видит .env?
- 1 подписчик
- 11 сент.
- 166 просмотров
2

ответа
PHP

+2 ещё

Простой
Как настроить phpStan в vscode чтобы он работал через докер?
- 2 подписчика
- 30 авг.
- 164 просмотра
0

ответов
VPN

+2 ещё

Средний
Проблема с хендшейком WireGuard через Docker (wg-easy). Что я делаю не так?
- 1 подписчик
- 28 авг.
- 301 просмотр
0

ответов
Docker

Средний
Почему образы не пуллятся с Docker hub?
- 2 подписчика
- 25 авг.
- 233 просмотра
4

ответа
Docker

Средний
Как установить русский язык в php:8.2-fpm-alpine?
- 1 подписчик
- 25 авг.
- 138 просмотров
2

ответа
Показать ещё Загружается…

Solution Architect/Архитектор цифровых решений

НПО Фарватер

от 100 000 до 200 000 ₽

Solution Architect (Platform V)

Сбер • Москва

от 450 000 до 550 000 ₽

Системный администратор

Tevian • Москва

от 100 000 до 175 000 ₽

будет ли безопасно если они будут общаться между собой без ssl?

Да.

Рассуждения
Что бы прослушать трафик внутри сервера надо его взломать, а если ты взломал сервер то скорее всего у тебя полные права, а с полными правами ты можеш изменить любые настройки.

То есть, теоритически использование ssl внутри сервера заставит злоумышленника раскрыть себя чтобы прослушать трафик, но не оставит его.

Стоит ли так заморачиваться с ssl? Все зависит от ТЗ.
К вышесказанному добавлю, что часто само разрабатываемое приложение не умеет SSL, вместо этого перед ним ставится reverse proxy (nginx, haproxy, traefik, envoy ид), который и предоставляет SSL, а между nginx (или другим веб-сервером) трафик всё равно не шифруется. До кучи, этот nginx может отдавать статику и скрипты фронта.

Чтобы по ТЗ требовать шифровать трафик в каждом прилоежнии, это должно быть что-то из области военки, гостайны или корпоративных данных супервысокой значимости, крупных финансов или что-то подобное. Обычному сайту такое ни к чему.
shurshur, добавлю:
даже очень критические данные - появляются требования TLS шифрования между подами например в кубере, но не внутри пода.

То есть требование шифрования между контейнерами может быть, если это реально проект "на вырост" и завтра эти контейнеры разъедутся во что-то куберообразное и даже могут оказаться в ряде случаев в разных геолокациях
Но в таких случаях шифрование реализуют не средствами приложений, а средствами надстроек над средой (к примеру истио в кубере)
Ну и да, в общем случае забиваемая в мозг обывателю мысль "без TLS опасно" - это некое лукавство.
d-stream, конечно, я и говорю, это должны быть сложные случаи, а тут два контейнера на локалхосте. Вообще, люди, которые пытаются внутри хоста в шифрование беспарольным ключом, который открыто лежит на файловой системе с правами 644 или даже 666, явно занимаются фигнёй.

Answer 1 · 2025-09-02 20:43:14

Обычно так и делают. Чтобы начать внутри одного локального бриджа городить шифрование - должны быть ну оочень веские причины.

Answer 2 · 2025-09-16 06:09:44

ДА, это безопасно
Когда контейнеры находятся в одной Docker сети на одной физической машине, их трафик НЕ покидает хост-систему и не проходит через внешние сети.

Docker ssl frontend backend?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт