Zabezpečení administračních nástrojů webové aplikace rubrika: Programování: Jiné

6 hever
položil/-a 12.9.2013

Jaký byste doporučili systém zabezpečení citlivých nástrojů webové aplikace, typu správce databáze (adminer/phpMyAdmin). Nechat to jen na nějakém url a vstup přes login a heslo (a nabídnout tak možnost veřejnosti, co url najde, zkoušet se přihlásit), nebo si omezujete přístup do těchto oblastí jen na nějakou IP, nebo přistupujete jen skrz VPN?

odkaz
10 joinmax
odpověděl/-a 12.9.2013
 
upravil/-a 12.9.2013

1) HTTPS
2) HTTP Basic/Digest autentizace (nastavená v Apache/Nginx) s jiným heslem, než je heslo do aplikace - může být ale společné pro celý tým. Tím se zajistí, že veřejnost/útočník ani nebude vědět, jaké nástroje používáš a také to, že v případě děravé administrátorské aplikace se k ní nedostanou a nebudou moci ani zkusit 0-day útoky.
3) Přihlašování v samotné aplikaci (zde už by měl mít každý uživatel své vlastní jméno a heslo)

Alternativně můžeš místo 2) dát omezení na IP adresy, ale tohle mi přijde pružnější (heslo si lidi uloží do prohlížeče, takže je to ani nebude otravovat). Další možností je VPN nebo tunelování přes SSH (aplikace bude dostupná jen na localhostu). Pro běžné weby mi přijde nejlepší tuhle úroveň zabezpečení řešit přes tu HTTP autentizaci.

P.S. jsou to tři body, které mají být splněny (ne tři varianty téhož, ze kterých si lze vybrat)... to jen kdyby to někdo nepochopil :-)

Pro zobrazení všech 7 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.