تسجيل الدخول التلقائي بين تطبيقات الويب php المنفصلة.قضية أمنية؟
https://stackoverflow.com/questions/379387
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدينا موقع ويب/قاعدة بيانات للدعم الفني في العمل نستخدمها لتسجيل تفاعلاتنا مع العملاء.موظفو الدعم الفني لدينا غير قادرين على إنشاء حساباتهم الخاصة.نستخدم أيضًا Mantis على نفس الخادم كوسيلة لتتبع الأخطاء.
داخل موقع الدعم الفني، نود أن يكون لدينا رابط إلى Mantis حتى يتمكن موظفو الدعم الفني لدينا من إدخال تقرير الأخطاء بسرعة.بسرعة، مما يعني أنه لا ينبغي على شخص الدعم الفني تسجيل الدخول إلى Mantis بعد النقر على الرابط.
لذلك نحن نستدعي وظيفة مصادقة معدلة داخل Mantis من موقع الدعم الفني الخاص بنا والذي يتحقق من اسم المستخدم، وإذا كان موجودًا، فإنه يقوم تلقائيًا بتسجيل دخول المستخدم إلى Mantis.لم يتم التحقق من كلمة المرور، لأننا كنا في عجلة من أمرنا مع حدوث الكثير من الأشياء الأكثر أهمية.
هل هذا خطر أمني؟
المحلول
هل هذا خطر؟نعم، ولكن قد تكون هناك عوامل مخففة.
هل يتم إجراء الفحص من تفاعل خادم إلى خادم أم أن جافا سكريبت من جانب العميل يقوم بإجراء المكالمة؟إذا كان من خادم إلى خادم، فهذا يقلل من المخاطر قليلاً.
هل السرعوف يواجه علنًا أم داخليًا تمامًا؟إذا كان داخليًا، فإن هذا يحد من النطاق للمستخدمين الداخليين فقط.
إذا تم "تسريب" جميع معلومات الأخطاء إلى الإنترنت، فهل سيكون لذلك عواقب محتملة على صاحب العمل؟هذا هو الأصعب.أيضًا، يجب موازنة هذا مع إمكانية الوصول المتوفرة بالفعل للتكنولوجيات.
ما هو أقصى احتمال للضرر؟بمعنى آخر، لنفترض أن أحد فنيي الدعم لديك غاضب ويقرر تجربة أنظمة الشركة.
ماذا يمكنهم أن يفعلوا؟
يقوم Mantis ببساطة بتخزين معلومات تتبع الأخطاء.علاوة على ذلك، إذا تم عمل نسخة احتياطية لخادمك ليلاً، فستكون مقيدًا باحتمالية تشويه الأخطاء التي قد تصل إلى يوم واحد.بالكاد يستحق العناء من وجهة نظر القراصنة، وليس له أي نتيجة حقيقية للشركة.
يجب أن يتناسب مقدار الأمان المستخدم مع ما تدافع عنه.
