安全管理-页-只登录没有HTTPS
安全管理-页-只登录没有HTTPS
提问于 2018-12-05 21:05:10
我正在向一个不使用HTTPS的网站添加管理仪表板。目前,(admin)部分只需要用户身份验证。
如果我使用加密+盐渍密码,并检查客户端IP地址,只允许一对IP-s登录,它会不够安全吗?
- 如果攻击者拦截原始登录通信,他们能模仿客户端IP地址吗?
如果我最终必须实现HTTPS (仅用于管理部分):
- 如果HTTP (非安全)网站在某些页面上使用HTTPS,会不会触发浏览器或搜索引擎向刚刚访问HTTP/非管理部分的用户显示不必要的警告?假定SSL证书将是自签名的。
编辑:
这是临时措施,直到整个网站获得用户成员资格功能,并切换到所有-https。在项目真正向前推进之前,不希望网站所有者支付证书。
即使在管理员登录页面上使用HTTPS ..。如果页面不包含非安全链接,但其他页面不安全.这里的情况就是这样。
所谓“足够安全”,我的意思是不丢失密码,也不让网站被修改。它不是‘流行’的网站是黑客的兴趣,但有人玩一些黑客工具的乐趣可能是.管理员添加到该网站的所有信息无论如何都将是公开访问的,只是以一种体面的方式。
回答 1
Software Engineering用户
回答已采纳
发布于 2018-12-05 21:18:42
你应该去看整个网站的HTTPS。
如果您确实坚持要有一个不安全的主站点,登录表单至少应该在HTTPS上,否则攻击者只需读取管理员用户名+密码即可。
我不太了解IP地址欺骗,但它似乎是一个非常脆弱的系统,将打破动态IP分配,我不认为依赖这将是一个好主意。
如果通过HTTP加载子资源,则通过HTTPS服务的站点将发出警告,而不是其他方式。
自签名证书的问题在于,用户必须添加一个异常才能信任证书,因此,如果存在中间人攻击,他们可能会认为证书需要重新信任。
您最好只使用像让我们加密这样的服务,它是免费的,可以很容易地被自动化,整个网站。这样可以降低用户的很多风险,包括管理和非管理。
页面原文内容由Software Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://softwareengineering.stackexchange.com/questions/382539
复制相关文章
相似问题
腾讯云开发者
