【发布时间】:2010-08-04 04:09:59
【问题描述】:
设计一个用户内容网站,问题是管理部分,从安全的角度来看,它应该放在哪里?
- 相同的域并允许管理员像其他用户一样使用管理员电子邮件从登录表单进入站点
- 有一个单独的子域仅供管理员登录
- 有一个单独的秘密域用于访问管理功能
- 或任何其他建议?
目标是防止任何人知道管理部分并尽可能将其锁定。
谢谢
【问题讨论】:
标签: security social-networking
【发布时间】:2010-08-04 04:09:59
【问题描述】:
实际上,我在一个使用单独子域的系统上工作,并且有一个完整的另一个 ASP.NET 项目专用于父域的管理部分。
这对我们有很多好处。其中一些是:
- 一个站点和另一个站点完全不同的身份验证机制。
- 我们可以在不关闭管理站点的情况下部署网站,反之亦然。
【讨论】:
嗯,作为一个基本规则,我会说这并不重要。无论是否暴露,您的登录表单都必须是安全的。
但是,我理解在任何情况下都希望隐藏管理区域。我个人最喜欢这个变体:
同一域并允许管理员使用管理员电子邮件从登录表单中像其他用户一样进入站点
因为它不会在客户端计算机上留下任何易于检测的痕迹(例如“admin.example.com”或“example.com/super-secret-admin-area”)。
【讨论】: