Mi è stato assegnato il compito di cercare un modo per proteggere una singola pagina nel nostro sito se in qualche modo un hacker ha accesso ai nostri file. Questa "singola pagina" verrà eseguita su un server diverso.
Requisiti:
- Mostra all'utente qualcosa che gli faccia sapere che sta visualizzando la pagina giusta
Questo è tutto.
L'idea è che durante un processo nel nostro sito, l'utente dovrebbe navigare in questa pagina, vedere qualcosa che gli faccia sapere "sei veramente nella pagina che desideri". Quel "qualcosa" potrebbe anche essere un URL che punta a un server specifico che esegue SSL.
Tuttavia, non riesco davvero a pensare a un sistema a prova di tutto per gestirlo. Se in qualche modo un hacker ha accesso a ciò che il nostro sito Web sta servendo, mi sento come se potessero cambiare qualsiasi cosa, anche andando a un https: url in una nuova finestra del browser per quella pagina potrebbe essere falsificato, no? ( modifica : questa è una domanda importante. Potrebbero in qualche modo spoofare l'URL " link " se hackerano il principale sito web all'indirizzo " link "? Il browser informerà l'utente che in realtà stava andando nell'URL errato?)
È un compito impossibile?
modifica
Una potenziale idea sarebbe una cosa del genere:
Il client apre " link ". In un iframe, carichiamo: " link ". Su quella pagina protetta, abbiamo una chiave inviata dal server. Quella pagina usa quindi Ajax per inviare la chiave BACK al server, che verifica che la chiave sia corretta e mostri un'immagine lucida. Ciò consente all'utente di vedere visivamente che hanno una connessione sicura. Quindi, quando l'utente invia il modulo (su secure.ourwebsite.com), crittografiamo le informazioni e le rimandiamo via SSL a secure.ourwebsite.com.
È un'opzione valida?