同じサーバー上のAPI呼び出しに非SSL / TLS接続を使用することの影響
同じサーバーでホストされている2つのドメイン、ドメインAとドメインBがあります。ドメインAにはIP 1.1.1.1、ドメインBには2.2.2.2を想定して、両方のドメインのIPアドレスが異なります。
各ドメインには、APIを使用して他のドメインと通信する異なるシステムがあります。 API呼び出しにSSL/TLS接続を使用しなかった場合、どのようなリスクがあるのでしょうか。
API呼び出しへのアクセスを127.0.0.1および上記のIPのみに制限した場合でも、攻撃者が送信された情報をハイジャックすることは可能ですか?サーバーのIPを使用してIPを偽装し、情報を盗むことはできますか?
ループバックアドレス(127.0.0.1)へのトラフィックは、それがオンになっているマシンを離れないため、サーバーが安全であれば安全です。
2つのIPアドレスの例が同じサーバーを指している場合、サーバーはこれを認識し、トラフィックがサーバーを離れないようにする必要があります。
ただし、これらのIPアドレスが異なるサーバー用である場合、データがネットワークを介して流れるときにデータが傍受される可能性があります。サーバーが同じプライベートネットワーク上または同じデータセンター内にある場合、このリスクは多少軽減される可能性があります。 SSL/TLSはこれに対する保護に役立ちます。
APIアクセスを特定のIPアドレスに制限することは、不要なデータアクセスのリスクを軽減する優れた戦略ですが、それを排除するものではありません。前述したように、ネットワークトラフィックが暗号化されていない場合、トラフィックの傍受は依然としてリスクです。
また、なりすましに関しては、使用しているプロトコルによって異なります。 TCPを使用するプロトコル(HTTPはTCPを介して実行されます)、IPアドレスのなりすましにはある程度の抵抗がありますが、IPを許可する攻撃がまだあります状況によっては、なりすましに対処します。