一名非技術性,安全偏執的員工堅稱,確保我們網站安全的有效方法是將應用程序分爲三部分;前端,API和後臺管理區域。通過使用不起眼的域名保護網站安全
API和管理系統都位於只是隨機字符集的域名上。
應用程序持有敏感數據,但是,所有的應用程序都在同一臺服務器上。
我面臨的問題是,在處於此狀態時調試或添加應用程序的功能使工作變得非常困難,因爲它不清楚應用程序的哪一部分執行了什麼操作。 (沒有文檔,以前的開發者已經離開公司。)
他堅持說未來的項目會遵循相同的套件,它們有自己獨立的API和管理區域,我認爲這對於相對簡單的應用程序來說是不必要的。
第二個問題是我知道通過默默無聞的安全性並不一定是安全的,我沒有看到使用複雜的域來承載部分或全部網站的重點。
所以我的問題是這樣的:
1)是使用API這樣準備進行任何安全好處?我們是否有其他方法可以確保應用程序的安全,並且數據是安全的,從而不會影響開發速度。
2)是否使用必要的隱蔽域來保持應用程序的安全?再次,有沒有其他方法可以同樣有效,對於未來的開發人員來說看起來並不奇怪?
3)管理系統使用用戶名和密碼進行保護。將管理系統安裝在website.com/admin而不是randomcharacters.com上一樣安全嗎?
僱員:我如何訪問管理區域? ... HiPPO:你得到了http://fd7fsdfcxc9sffgdfg9b0kjh9rewfr9sas9vhfghg.com得到了......哦,你不允許將它同步到一個不安全的地方,它不允許加入書籤; p –