별도의 PHP 웹 앱 간의 자동 로그인. 보안 문제?
https://stackoverflow.com/questions/379387
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
직장에서 고객과의 상호 작용을 기록하는 데 사용하는 기술 지원 웹 사이트/데이터베이스가 있습니다. 우리의 기술 지원 사람들은 자신의 계정을 만들 수 없습니다. 우리는 또한 버그를 추적하는 방법과 같은 서버에서 Mantis를 사용합니다.
기술 지원 사이트 내부에서 우리는 기술 지원 사람들이 버그 보고서를 신속하게 입력 할 수 있도록 Mantis에 대한 링크를 원합니다. 신속하게, 기술 지원 담당자는 링크를 클릭 한 후 Mantis에 로그인 할 필요가 없음을 의미합니다.
따라서 우리는 사용자 이름을 확인하는 기술 지원 사이트의 Mantis 내에서 수정 된 인증 기능을 호출하고 있으며 자동으로 사용자를 Mantis에 로그인합니다. 우리는 더 많은 중요한 일들과 함께 큰 서두르고 있었기 때문에 비밀번호 점검이 없습니다.
이것이 보안 위험입니까?
해결책
이것이 위험입니까? 예, 그러나 완화 요인이있을 수 있습니다.
수표가 서버에서 서버 상호 작용으로 수행됩니까? 아니면 클라이언트 측 JavaScript가 호출을 하는가? 서버 대 서버가있는 경우 위험이 약간 낮아집니다.
Mantis가 공개적으로 직면하거나 완전히 내부입니까? 내부 인 경우, 이는 범위를 내부 사용자로만 제한합니다.
모든 버그 정보가 인터넷에 "유출 된"경우 고용주에게 잠재적 인 결과가 있습니까? 이것은 더 어려운 것입니다. 또한이 제품은 이미 기술에 제공된 액세스에 대해 무게를 측정해야합니다.
손상의 최대 잠재력은 얼마입니까? 다시 말해, 귀하의 지원 기술 중 하나가 화가 나서 회사 시스템에서 총을 맞기로 결정했다고 가정 해 봅시다.
그들은 무엇을 할 수 있습니까?
Mantis는 단순히 버그 추적 정보를 저장합니다. 또한, 서버가 밤마다 백업되면, 당신은 하루에 한 번의 버그의 잠재적 손상으로 제한됩니다. 해커의 관점에서 거의 가치가 없으며 회사에 실질적인 결과가 없습니다.
사용 된 보안의 양은 방어하는 것과 상응해야합니다.
