Aggiungo il dashboard dell'amministratore a un sito Web che non utilizza HTTPS. Per ora solo quella sezione (admin) richiede l'autenticazione dell'utente.
Se utilizzo la password criptata + salata e controllo l'indirizzo IP del client per consentire l'accesso solo a un paio di IP-s, non sarà abbastanza sicuro?
- Gli attaccanti possono imitare l'indirizzo IP del client se intercettano la comunicazione di accesso originale?
Dopotutto devo implementare HTTPS (solo per la parte di amministrazione):
- Se il sito Web HTTP (non sicuro) utilizza HTTPS su alcune pagine, i browser o i motori di ricerca attivano gli avvisi indesiderati agli utenti che visitano solo le sezioni HTTP / non amministratore? Dato che il certificato SSL sarà autofirmato.
Modifica
Questa è una misura temporanea fino a quando l'intero sito ottiene la funzione di appartenenza utente e passa a all-https. Non voglio che il proprietario del sito paghi il certificato fino a quando il progetto non avanza davvero.
Anche con HTTPS solo sulla pagina di accesso dell'amministratore .. se la pagina non contiene collegamenti non sicuri ma altre pagine non sono sicure ... questa sarà la situazione qui.
Con "abbastanza sicuro" intendo di non perdere la password e di non alterare il sito. Il sito non è "popolare" per gli interessi degli hacker, ma qualcuno che gioca con alcuni strumenti di hacking per divertimento potrebbe essere ... Tutte le informazioni che l'amministratore sta aggiungendo al sito saranno comunque accessibili pubblicamente, solo in un modo piacevole e presentabile.