È necessario che la sicurezza abbia accesso in una pagina separata?

3

Lavorare su un sito Web pubblico in cui il modulo di accesso si trova su una pagina separata sul proprio sottodominio. Uno dei nostri più grandi obiettivi al momento è cercare di promuovere gli utenti ad accedere più frequentemente al sito. Il mio primo suggerimento era naturalmente che dovessimo rendere disponibile il modulo di login (username e pwd input) direttamente dall'intestazione del sito principale.

Il responsabile del sistema di login mi ha detto che era fuori discussione - dal momento che abbiamo molti script di terze parti (annunci ecc.) sul sito principale, sarebbe un rischio per la sicurezza avere il modulo di accesso accessibile ovunque sulla pagina principale. Il login deve rimanere su una pagina separata dove non ci sono script di terze parti. La visualizzazione della pagina di accesso all'interno di un iframe nel sito principale non era un'opzione.

Mi fido di lui ma volevo solo ricontrollare. Non c'è davvero alcun modo per avere un sito sicuro con script di terze parti e input di username e password direttamente accessibili sulla pagina? Se un sito con annunci non è considerato sicuro se il modulo di accesso non si trova su una pagina separata?

    
posta Drkawashima 30.08.2017 - 23:11
fonte

1 risposta

1

Sono d'accordo con lui sul fatto che questo è un problema, ci sono due modi per mitigarlo:

  • Non caricare script da parti esterne
  • Eseguilo su una pagina separata senza script di terze parti su nessuna delle pagine di amministrazione

Gli script di terze parti, in particolare gli annunci pubblicitari, sono talvolta suscettibili al dirottamento da parte di entità maligne. Esistono due principali rischi associati con l'esecuzione di questo script:

  • Qualcuno potrebbe iniettare un modulo di phishing per phishing le tue credenziali
  • Qualcuno potrebbe usarlo per rubare le informazioni sulla sessione

Inoltre, per la maggior parte dei siti Web sensibili, consigliamo anche di limitare le pagine amministrative solo a determinati intervalli di rete. Preferibilmente non dovrebbero essere accessibili da Internet.

    
risposta data 31.08.2017 - 02:21
fonte

Leggi altre domande sui tag