ユーザーの禁止、投稿の削除、他の管理機能の呼び出しなど、Webサイトで管理者の雑用を行う唯一の方法は、管理セクションを作成することであるかどうか疑問に思います。ここでユーザーがログインできないのはパスワードだけです。ユーザーに表示されないページなど、他の選択肢はありませんか?
質問する
86 次
1 に答える
1
フォーラムなど、Webサイトで通常のアクティビティと管理者の両方にログインが必要な場合は、同じユーザーデータベースを使用する個別のログインを使用します。これにより、XSRFとセッションスティーリングにより、攻撃者が管理領域にアクセスできなくなります。
さらに、adminセクションが別のサブディレクトリにある場合は、そのサブディレクトリをWebサーバーの認証(たとえば、Apacheの.htaccess)で保護することをお勧めします。その場合、誰かがそのパスワードとユーザーパスワードの両方を必要とします。
管理パスを隠しても、セキュリティ上のメリットはほとんどありません。誰かが有効なログインデータを知っている場合、フィッシングやキーログを送信したり、ソーシャルエンジニアリングを介して取得したりしたため、管理ツールのパスを見つけることもできます(おそらくパスも)。しかし、あいまいなパスがなくても、そのパスへのリンクは必要ありません。手動で入力するだけで、管理領域にアクセスできます。
3回のログイン失敗後にユーザーのIPをブロックしたり、ログイン失敗後にCAPTCHAを要求したりするなどのブルートフォース保護も役立つ場合があります(正当なユーザーにとっては非常に煩わしいため、最初のログインではありません)。
しかし、全体として、Webサイトに機密情報などが含まれていない限り、ほとんどの場合、安全なパスワードとセキュリティホールは十分ではありません。
于 2012-05-27T16:48:51.610 に答える