<div dir="ltr">Hi Folks,<div><br></div><div>I'm still processing all this information - thanks for your help!</div><div><br></div><div>--Pino</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 4, 2017 at 7:58 AM, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-10-04 10:47:02 +0100 (+0100), Luke Hinds wrote:<br>
[...]<br>
<span class="">> The recommendation is not to use metadata for security sensitive<br>
> data (its possible to spoof by setting a X-Forwarded header),<br>
> please see the following OpenStack Security Note on the topic:<br>
><br>
> <a href="https://wiki.openstack.org/wiki/OSSN/OSSN-0074" rel="noreferrer" target="_blank">https://wiki.openstack.org/<wbr>wiki/OSSN/OSSN-0074</a><br>
<br>
</span>Well, it's possible as long as the environment is badly<br>
designed/configured: you deployed nova to expect a proxy, but then<br>
gave guest instances a way to reach the metadata API without going<br>
through that proxy. So while it's definitely a risk to be aware of,<br>
it come pretty close to the need Sean mentions for "solid network<br>
<div class="HOEnZb"><div class="h5">security on the path between your guests and your nova-API."<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div>