Tenho um aplicativo front-end que pode ser acessado de fora e usa HTTPS. Eu tenho um aplicativo de back-end que está sendo executado no mesmo computador/servidor que o front-end e usa HTTP. Não consigo mudar meu back-end para HTTPS, quais são os problemas de segurança da minha configuração?
Realisticamente, provavelmente não há muito problema de segurança aí. Executar o site usando HTTPS por si só não faz nenhuma diferença para a segurança do site, ele fornece segurança em relação à conexão do usuário ao servidor pretendido.
A parte TLS/SSL do HTTPS (ou qualquer outro protocolo que o use) fornece essencialmente duas coisas. 1) Um túnel seguro entre o cliente e o servidor, para que qualquer comunicação entre os dois não seja interceptada na rota, por exemplo, ao usar wi-fi público. 2) Confirmação quando você se conectar a www.foo.com que realmente é www.foo.com , e alguém não conseguiu redirecionar sua solicitação para um servidor malicioso.
Nesse contexto, quando você está falando sobre sua rede interna local, especialmente se estiver usando uma rede com fio, o risco é se alguém com acesso à sua rede pode configurar algo para bisbilhotar seu tráfego de rede para a web servidor ou envenenar o DNS local para enviar o servidor para outra pessoa. Nenhum dos dois é impossível, mas, se alguém de alguma forma comprometeu sua rede (seja fisicamente ou por meio de um dispositivo comprometido) de forma que pudesse fazer qualquer uma dessas coisas, você terá problemas muito maiores com os quais se preocupar do que o tráfego para um servidor da web sendo comprometido.
No entanto, embora não haja muito problema de segurança, dependendo de como esse aplicativo de back-end é acessado e por quem ele é acessado, pode ser um problema de usabilidade. A maioria dos navegadores reclamará se você tentar se conectar a um site que não seja protegido por HTTPS, e alguns simplesmente não permitem que você se conecte ou dificultam o trabalho. Tudo bem se for apenas algum tipo de interface do usuário de administrador, mas mais problemático se for amplamente usado por funcionários não técnicos.