我有一位客户要求我们在主(公共)网站上添加指向系统管理区域的链接,以便他们可以直接访问该网站并点击该网址。
你认为这是一个坏主意吗?我觉得有点奇怪,他们不记得去/管理员 - 看起来很像你邀请某人尝试入侵,不是吗?
我一直试图想出其他一些方法。如果是我,我会给它添加书签,但是我的客户是一个......“老先生”的联盟,他们的计算技术很少。
有关如何解决这个问题的任何想法?
答案 0 :(得分:1)
虽然我无法想象这真的可以被描述为“良好做法”,但似乎不公开链接行政区域给你的额外“安全”相对最小
由于常用的“管理区域”类型路径数量有限 - /admin
,/administrator
,/admincp
等,并且(假设您的问题尚未审核)你确实正在使用其中一个,你可能只是通过不链接它来阻止最业余的攻击者,你希望它们会被你在行政区域确实拥有的登录机制所打败。< / p>
其他更坚定的对手无疑会设法找到管理员。区域是通过简单地探测公共路径是否链接到它。
答案 1 :(得分:1)
拥有指向管理区域的链接本身并不存在安全风险。如果您在保护管理区域方面做得很好,那么将地址公之于众并不重要。如果将URL设为私有会增加安全性,则意味着您处于危险之中。