-1
可能重複:
What are best practices for securing the admin section of a website?首選的方式來管理的網站/調用某些功能
我想知道,如果只有這樣,才能做到在您的網站管理員的瑣事,像禁止用戶,刪除帖子和調用其他管理員功能,是做一個管理部分。唯一阻止用戶登錄的是密碼。 是不是有其他的選擇,就像用戶不可見的頁面一樣?
A
回答
1
如果網站需要登錄常規活動和管理員,例如一個論壇,我會使用單獨登錄它們使用相同的用戶數據庫。這確保了XSRF和會話竊取不會允許攻擊者訪問管理區域。
此外,如果管理部分是在一個單獨的子目錄,確保一個與網絡服務器的認證(在如Apache的.htaccess)可能是一個好主意 - 然後有人需要都該密碼和用戶密碼。
掩蓋管理路徑幾乎不會產生任何安全性收益 - 如果有人知道有效的登錄數據,他很可能也能夠找到管理工具的路徑,因爲他既可以通過它進行釣魚或鍵盤記錄,也可以通過社交工程獲得也可能會顯示出路徑)。但即使沒有模糊的路徑,你也不需要鏈接到它;只需手動輸入以訪問管理區域。
蠻力保護措施,例如3次登錄失敗後阻止用戶的IP,或者在登錄失敗後不需要第一次登錄(因爲這對於合法用戶來說非常煩人)也可能有用。
但所有的一切,除非你的網站包含敏感信息等,一個安全的密碼,沒有安全漏洞應該是在大多數情況下足夠了。
相關問題
- 1. 刪除管理分區的功能中的某些表
- 2. 將wordpress功能添加到客戶網站的某些部分
- 3. 限制成員的某些網站功能
- 4. 用於管理Laravel遷移的首選方式
- 5. 調用未定義功能mb_internal_encoding()在我的Goddady託管網站
- 6. 使用git來管理生產網站?
- 7. 我的網站的某些功能不能正常工作在localhost
- 8. 刪除二維數組中的某些列的功能方式
- 9. 谷歌登錄功能的網站 - 登錄狀態管理
- 10. 將ASP.NET網站管理工具功能帶到網頁
- 11. 管理網站用戶照片的最佳方式是什麼?
- 12. 我如何獲得tkinter處理複選框並調用某些功能?
- 13. 管理網站
- 14. 什麼是一些可能的方式來存儲登錄細節來創建一個站點管理員?
- 15. 在UIActionSheets上設置輔助功能標籤的首選方式
- 16. 在Django管理站點調用方法
- 17. C#使通用的方法知道如何調用「某些」類的功能
- 18. 谷歌網站管理員網站性能審查的問題
- 19. 導軌和網絡套接字:需要某個功能的某些方向
- 20. 用戶只能看到來自django網站數據庫的某些數據
- 21. 管理未來訪問的用戶首選項
- 22. 在我的網站上顯示來自外部網站的某些div
- 23. 管理複選框功能使用jQuery
- 24. Javascript能以某種方式窺探我的網站嗎?
- 25. 某些網站選項在網絡視圖中不起作用
- 26. 管理的Joomla網站
- 27. 開發工具來管理網站
- 28. 有沒有更好的方法來處理這些功能?
- 29. 在網站級別選擇性地禁用網站集功能
- 30. Java首選項管理器
當你說「對用戶不可見」時,你的意思是你的網站上沒有錨標籤到那個頁面? – Alex