amministratore del sito senza nome utente e la password
https://stackoverflow.com/questions/784857
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
In questo momento sto costruendo un personal sito / blog e hanno più o meno ce l'ha che come voglio, tranne che sono in due menti su come aggiungere i messaggi ad esso.
E 'solo me che aggiungeremo i messaggi e per me avere una password utente / nome di Login sembra piuttosto passé;).
sto cercando per alternative per giocare e sperimentare e una sola idea che ho è questa:
Generazione di una chiave asimmetrica, io personalmente mantenere il privato e il sito ha la chiave pubblica. Quando provo ad aggiungere un post o modificare qualsiasi contenuto del sito genera una stringa casuale, cifrare con la chiave pubblica e visualizzarlo. Ho decrittografare questi utilizzando una piccola applicazione che potrei montare insieme e passare la stringa in chiaro al sito che permetterà la modifica di continuare.
Mi chiedo solo su eventuali avvertimenti dovrei essere alla ricerca, o se qualcuno pensa che questo sia una cattiva idea, forse in alternativa potrei provare?
Soluzione
Perché non basta avere un nome utente e una password e hanno o il browser Web ricordare il login, oppure inviare un cookie di autenticazione di nuovo che non scade. Utilizzare un auto firmato cert SSL per proteggere il canale di comunicazione. Se si desidera utilizzare / chiave privata crypto appena configurazione pubblica un tunnel SSH e post dal localhost sul server. Fidati di me, è meglio ri-uso conosciuto bene crypto / sicurezza che cercare di rotolare il proprio.
Altri suggerimenti
Perché non fare un ulteriore passo avanti dal vostro suggerimento e mettere la stringa crittografata in all'URL?
Ad esempio, girare la data e l'ora correnti in una stringa - ad es. 0904240905 - cifrare con la chiave privata e aggiungere ad un URL, ad esempio, http://yoursite.com/admin/dksjfh4d392s dove dksjfh4d392s è la stringa crittografata. È sito ha poi una servlet che estrae la stringa crittografata dall'URL, verifica che si decifra a un tempo recente e poi ti dà un cookie di sessione, mentre consente di eseguire attività di amministrazione.
Credo che la chiave asimmetrica è una soluzione elegante - ma un nome utente / password è quasi certamente andando essere più facile da implementare.
Se si sta costruendo il proprio sito, allora si sta solo facendo per i calci (altrimenti si sarebbe utilizzare WordPress, Drupal, Django, etc.) quindi perché non fare le cose in modo diverso?
Si potrebbe scoprire che dover portare in giro il vostro tastierino numerico applicazione potrebbe diventare un po 'restrittiva, se vi trovate a voler blog, ma senza i mezzi per identificare se stessi.
Ma, detto questo, @Kurt ha l'idea giusta per il cripto - fai da te è quasi certamente sta per essere peggio di utilizzare qualcosa di già collaudato.
Una delle affermazioni più sagge che io abbia mai sentito parlare di sicurezza era "non provare a reinventarlo".
La sicurezza online è stato attraverso così tanti iterazioni che è altamente probabile che qualsiasi idea brillante si arriva con ha qualche difetto che è stato precedentemente trovato, considerato e fissa.
Se si vuole la sicurezza "casual", proteggere il vostro sito con un nome utente e una password. Se si vuole la sicurezza "forte", il bastone un certificato SSL su di esso. Se si vuole la sicurezza "banca", aggiungere nella sicurezza anti-sequenza di tasti.
i certificati client SSL fanno comunque. Perché non usare uno di quelli?
Il motivo principale per più persone non usano i certificati client SSL è che sono un incubo amministrativo - si deve arrivare agli utenti finali di creare le chiavi, poi firmare i loro certificati, quindi assicurarsi che gli utenti finali non lo fanno perdere le loro chiavi (quando perdono il loro computer portatile, l'aggiornamento a un nuovo sistema operativo, ecc), che fanno di solito, in modo da avere a firmare i certificati ancor più quando gli utenti finali perdono le loro chiavi private.
