以下是处理网站安全情况的提案。从技术和可用性的角度来看,我想知道它是否可行。我想确保提案确实包含任何明显的错误。
一个。网站
有问题的网站是学校网站,学生可以在那里购买各种物品。这些学生在网站上获得一个用户名和密码的帐户,他们可以用来登录。一旦他们登录,他们就可以访问具有私人内容的受保护页面,这些内容对公众不可用。
B中。安全关注
网站的所有者希望防止单个学生在网站上注册,获取用户名和密码,然后将这些凭据传播给朋友圈,然后他们可以非法登录网站查看私人内容。
℃。解决方案
我们提出的处理此安全问题的核心理念是允许每个学生仅在两台设备上登录该网站。一旦学生登录两个不同的设备,他们就被限制在这两个设备上。如果他们然后尝试登录第三个设备,系统将不允许他们这样做。我们的理解是,其他提供私人内容的网站,例如Netflix,都使用这种方法。
d。实施
实现上述安全措施时会想到两个想法:a。 IP地址。湾饼干。我们排除可以更改的IP地址,并选择cookie。像amazon.com这样的网站允许他们的客户登录一次,然后每当他们返回网站时,他们总是被识别。这几乎可以通过cookie实现。
因此,每次学生登录时,我们都会在他们的设备上存储一个cookie。我们还会将此cookie存储在该学生帐户下的数据库中。因此,每次学生登录任何设备时,我们都会检查他们当前登录的设备是否包含我们为该学生存储的cookie。如果没有,我们将知道该学生正在使用其他设备登录。因此,我们将能够知道学生尝试登录的设备数量。
电子。缺点
我们已经确定了这种方法至少有三个可能的缺点:
这些是真实用户出于合法原因希望登录但由于两个设备的网站安全限制而无法登录的情况的示例。
我们有一些关于如何在系统中构建逻辑来处理这种情况的想法,我们可能会在未来实施,但目前我们认为这种情况非常罕见,我们不需要以编程方式处理它们。
相反,就目前而言,如果学生被锁定,他们将获得一个屏幕,其中包含一条消息,说明我们为什么不允许他们进入系统,以及一个他们可以点击的按钮,它会自动生成一个发送电子邮件给网站管理员。
电子邮件将通知他们学生希望登录第三台设备。然后,管理员可以联系学生,如果他们确信需要是真实的,他们将能够从CMS采取措施允许该学生进入。
学生团体的规模足够易于管理,上述方法应该是可行的。
F。公平警告
我们会在他们的帐户被激活时告知学生这些安全措施,以防止出现令人不快的意外。
答案 0 :(得分:0)
这是尝试通过IT解决现实世界政策问题的典型示例;在这种情况下,禁止学生分享他们的证书。
您提出的解决方案限制了可用性(由于您已在Drawback中列出的原因)并且无法确保安全性,因为可以复制Cookie(尤其是内容)。简而言之,这是可行的,但很容易被规避。由您来决定是否值得实施它。执行“无共享凭证”规则可能更好,例如设置随机检查并将任何违反规则的学生发送给院长。