administrador del sitio y sin nombre de usuario y contraseña

Question

En este momento estoy construyendo un sitio / blog personal y tienen más o menos lo tiene que como yo quiero, excepto Estoy en dos mentes acerca de cómo agregar mensajes a la misma.

Es sólo yo, que se irán sumando los mensajes y para mí tener una contraseña de usuario / nombre de conectarse parece bastante pasado de moda;).

Estoy buscando alternativas para jugar y experimentar con una idea y que tengo es la siguiente:

Generar una clave asimétrica, yo personalmente mantener el privado y el sitio tiene la clave pública. Cuando intento agregar un poste o modificar cualquier contenido del sitio va a generar una cadena aleatoria, cifrarlo con la clave pública y mostrarlo. Me descifrar esto usando una pequeña aplicación que podía batir juntos y pasar la cadena sin cifrar de nuevo al sitio que permitirá la modificación para continuar.

me pregunto acerca de las advertencias que debería estar en la mirada hacia fuera para, o si alguien piensa que esto es una mala idea, tal vez una alternativa que podría intentar?

Answer 1

¿Por qué no tener un nombre de usuario y contraseña y, o bien tener su navegador web recuerda el inicio de sesión, o envíe un regreso cookie de autenticación que no caduca. Utilizar un certificado SSL autofirmado para asegurar el canal de comunicaciones. Si desea utilizar la clave privada de cifrado pública acaba de configurar / un túnel SSH y después de localhost en el servidor. Confía en mí, es mejor reutilizar buena conocida de cifrado / seguridad, que tratar de liar.

Answer 2

¿Por qué no ir un paso más lejos de su sugerencia y poner la cadena cifrada en la URL?

Por ejemplo, convertir la fecha y la hora actual en una cadena - por ejemplo. 0904240905 - cifrarlo con su clave privada y añadir a una URL, por ejemplo, http://yoursite.com/admin/dksjfh4d392s donde dksjfh4d392s es la cadena cifrada. Usted sitio, entonces tiene un servlet que extrae la cadena cifrada de la URL, comprueba que descifra a una época reciente, y luego le da una cookie de sesión, mientras que le permite realizar tareas de administración.

Answer 3

Creo que la clave asimétrica es una solución elegante - pero un nombre de usuario / contraseña es casi seguro que va a ser más fácil de implementar.

Si usted está construyendo su propio sitio a continuación, sólo lo está haciendo por diversión (de lo contrario se estaría utilizando WordPress, Drupal, Django, etc.) así que por qué no hacer las cosas de manera diferente?

Usted puede encontrar que tener que llevar alrededor de su aplicación Keymat podría ser un poco restrictiva, si se encuentra con ganas al blog pero sin los medios para identificar a sí mismo.

Pero, dicho esto, @Kurt tiene la idea correcta de cripto - DIY es casi seguro que va a ser peor que el uso de algo ya probado y comprobado.

Answer 4

Una de las declaraciones más sabias que he oído acerca de la seguridad era "no tratar de reinventar ella".

La seguridad en Internet ha pasado por muchas iteraciones que es muy probable que cualquier idea brillante que llegar a tiene algún defecto que previamente ha sido encontrado, considerado y fijo.

Si quieres seguridad "casual", proteger su sitio con un nombre de usuario y contraseña. Si desea mayor seguridad "fuerte", se adhieren un certificado SSL en la parte superior de la misma. Si desea mayor seguridad "banco", agrega en la seguridad anti-golpe de teclado.

Answer 5

certificados de cliente SSL hacer esto de todos modos. ¿Por qué no sólo tiene que utilizar uno de esos?

La principal razón más gente no utiliza los certificados de cliente SSL es que son una pesadilla administrativa - usted tiene que conseguir que los usuarios finales crear claves, luego firmar sus certificados, a continuación, asegúrese de que los usuarios finales no lo hacen perder sus llaves (cuando pierden su ordenador portátil, actualizar a un nuevo sistema operativo, etc), lo que lo hacen habitualmente, así que hay que firmar certificados Sin embargo, más cuando los usuarios finales pierden sus claves privadas.