0
我開發了一個CMS應用程序,將所有客戶端的文件存儲在服務器上,但在我的服務器上處理(即保留我開發的有價值的代碼,同時不允許用戶提交的代碼使我的網站易受攻擊)。現在的問題是用戶有一個控制面板來編輯他們的網站,這是託管在他們的網站上,這是一個頁面的東西,但登錄細節/會話總是在我的網站上。如何在兩臺不同的服務器上驗證登錄名?
我在考慮讓網站上的編輯頁面只有在傳遞的令牌有效的情況下才可以訪問,兩個網站都可以使用相同的方式來開發和檢查相同的令牌。這是可以接受的安全性,我的意思是我能想到的唯一的利用方式是,如果URL在某個時間點獨立使用並獨立使用,則令牌仍然有效。檢查標題是可選的額外安全性,但這些可能是僞造的,所以它不是絕對的解決方案。我不知道嗅探用戶網絡流量有多容易,這種方法可以使用嗎?
在此先感謝。
感謝您的回覆。 SSL不可能,但由於使用客戶端服務器,它可能沒有SSL功能。編輯頁面確實呼叫到我的後端服務器是的,但主要問題是我不希望惡意用戶訪問編輯頁面,因爲它們可能會對客戶端網站造成嚴重損害。 – Ally 2012-04-06 22:59:50
如果你不能使用SSL,你會嚴重限制安全選項(你基本上可以保證一個MITM或重播攻擊是可能的)。也就是說,我的意思是,編輯頁面應該在*任何*(甚至是本地)操作之前呼叫到您的後端服務器。這可以抑制損害,儘管它依賴於它和後端服務器之間的鏈接的穩定性。 – 2012-04-06 23:01:51
不完全確定你的意思,但感謝你幫助我考慮了更多的答案,我想我有一個解決方案,也許如果我只是使用rsa加密來模擬ssl這兩種方式。實際上,考慮到這一點,它仍然容易受到MITM攻擊。 – Ally 2012-04-06 23:16:33