Accesso sicuro alle persone autorizzate solo sul server delle applicazioni [chiuso]

Naviga le tue risposte
-1

Sto costruendo un'applicazione PHP e vorrei bloccare il back-end (anche la pagina di accesso) per essere accessibile solo a persone autorizzate - ancora più in grado di collegare attività alle persone autorizzate.

Sono consapevole che tale blocco può essere effettuato utilizzando SSL o un certificato di ordinamento ma non certo o come ottenerlo. Ho visto diverse aziende implementarlo in modi come indicato di seguito

  • In una società, un utente compila un modulo con dettagli e la società emette un certificato che l'utente installa sul browser per accedere al back-end

  • Un'altra società, a un utente viene assegnato un exe da eseguire ogni volta che desidera accedere al back-end.

La mia applicazione PHP è in esecuzione su Windows Server 2016 e mi piacerebbe sapere come ottenere entrambi o entrambi i precedenti. Una risorsa o specifica sarebbe apprezzata.

    
posta Erick 20.08.2017 - 19:05
fonte

1 risposta

0

...would like to lock the backend (even login page) to only be accessible to preauthorized people

Questo suggerisce di volere due livelli di autenticazione + autorizzazione. Nella maggior parte dei casi, questa è un'indicazione di design scadente, anche se potrebbero esserci delle eccezioni. Un grande svantaggio è che si hanno due sistemi di autenticazione separati, cioè due IDAM separati che gestiscono una singola identità, il che aggiunge solo punti deboli, non punti di forza. Anche l'utilizzo di un IDAM singolo per due livelli di autenticazione è uno spreco.

Tuttavia, se vuoi ancora andare avanti:

Il metodo più comune per farlo è limitando l'applicazione a una rete privata (o a una rete virtualmente privata). Controllando l'accesso alla rete, si limita l'accesso alla Pagina di accesso e al resto dell'applicazione.

Se lo fai con certificati lato client o qualche altro meccanismo dipende da te. Dovrai studiare implementazioni / prodotti nelle categorie di Controllo di accesso alla rete e / o VPN.

L'uso di certificati lato client (in genere certificati dispositivo, ma potrebbe anche essere specifico per persona) non è raro con le VPN, anche se la maggior parte delle installazioni raramente va oltre i segreti condivisi e le password individuali.

Il tuo punto elenco 1 è un modo specifico di gestire l'inizio del ciclo di vita dell'identità durante l'emissione dei certificati.

Il punto 2 (exe) sembra un brutto trucco, anche se potrebbe essere solo un agente di autenticazione che nasconde la complessità. In tal caso, sospetto che sarebbe terribilmente insicuro a meno che non implichi l'uso di altri (classici) passaggi di autenticazione specifici per utente / dispositivo.

    
risposta data 20.08.2017 - 20:04
fonte

Leggi altre domande sui tag

Esistono standard di prezzo per i servizi di valutazione della vulnerabilità e test di penetrazione (VAPT)? Decrittografia di un testo crittografato con algoritmo di crittografia aes128 [chiuso]