Metodi per proteggere le pagine amministrative di un sito portatile

Question

Metodi per proteggere le pagine amministrative di un sito portatile

#1 da (1 voti)
#2 da (0 voti)

2

Ho creato un CMS (usando PHP) che è fondamentalmente trascina e rilascia per essere attivo (sotto gli host linux / apache), ora ho bisogno delle comunicazioni tra le pagine di amministrazione / login di detto CMS e del client (recente firefox / chrome ) per essere al sicuro.

Volevo utilizzare un sistema di autenticazione di base funzionante con TLS. Sarebbe grandioso, ma i certificati di solito devono essere installati sul server, il che sostanzialmente elimina l'aspetto della portabilità.

Esiste un modo per utilizzare TLS che non implichi la necessità di installarlo nel server? In caso contrario, esistono alternative adatte ai requisiti?

Ammetto che, a causa dei vincoli presentati, potrei dover trovare alternative a un protocollo di crittografia per migliorare la sicurezza nelle pagine sopra citate, come un sistema di autenticazione che riesce a costruire una connessione sicura dopo un "handshake" intelligente.

Quali sistemi di questo tipo sapresti rispettare i vincoli del progetto?

Tieni presente che sto cercando qualcosa che è stato creato e utilizzato, ho idee su come potrei creare il mio ma non lo farò se posso evitarlo, il che sarebbe l'ideale.

php authentication tls

posta uhx116 25.04.2015 - 18:11

fonte

2 risposte

Leggi altre domande sui tag php authentication tls

Come verificare i pacchetti installati [chiuso] Codifica lo stesso messaggio con IV diverso (AES / CBC)

score 1 · Answer 1

I certificati possono essere generati automaticamente sul server al primo avvio. Il FEP sta anche costruendo un progetto, Let's Encrypt , mirato precisamente alla generazione automatizzata, alla configurazione e all'aggiornamento dei certificati attendibili dal browser.

score 0 · Answer 2

I wanted to use a basic auth system working under TLS. That would be great but the certificates usually have to be installed on the server which basically kills the portability aspect.

Perché pensi esattamente che TLS uccida la portabilità? Oltre a SSL / TLS c'è solo IPSec, che fornisce una sicurezza simile, sebbene sia molto meno portabile. SSL / TLS ha un buon supporto nei client e l'installazione di un certificato sul server non dovrebbe essere troppo impegnativa per un amministratore decentemente esperto. Anche altre applicazioni web richiedono questo, quindi non vedo un problema qui.

I concede that due to the constraints presented I may have to find alternatives to an encryption protocol to improve security in the above mentioned pages, like an authentication system that manages to build a secure connection after a clever "handshake".

I strongmente scoraggiarti da quello. Venire con protocolli sicuri è uno sforzo difficile e inutile.