我有一个客户要求我们在主(公共)网站上添加指向系统管理区域的链接,以便他们可以访问该网站并单击 URL。
你会认为这是一个坏主意吗?我觉得他们不记得去 /admin 有点奇怪 - 看起来很像你在邀请某人尝试闯入,不是吗?
我一直在尝试想出一些其他的方法。如果是我,我只会将其添加为书签,但是我的客户是一个......'老先生'的财团,几乎没有计算知识。
关于如何解决这个问题的任何想法?
我有一个客户要求我们在主(公共)网站上添加指向系统管理区域的链接,以便他们可以访问该网站并单击 URL。
你会认为这是一个坏主意吗?我觉得他们不记得去 /admin 有点奇怪 - 看起来很像你在邀请某人尝试闯入,不是吗?
我一直在尝试想出一些其他的方法。如果是我,我只会将其添加为书签,但是我的客户是一个......'老先生'的财团,几乎没有计算知识。
关于如何解决这个问题的任何想法?
虽然我无法想象这真的可以被描述为“良好做法”,但通过不公开链接行政区域为您提供的额外“安全性”似乎相对微乎其微。
由于常见的“管理区域”类型路径数量有限 - /admin
、/administrator
等/admincp
,并且(假设您的问题没有被审查)您确实在使用其中一个,您可能只是将最业余的人拒之门外攻击者通过不链接到它,并且您希望他们会被您在管理区域中肯定拥有的登录机制击败。
其余更坚定的对手无疑会设法找到管理员。无论您是否链接到公共路径,都可以通过简单地探测公共路径来实现该区域。
拥有指向管理区域的链接本身并不是安全风险。如果您在保护管理区域方面做得很好,那么公开地址真的没关系。如果将 URL 设为私有可提高安全性,则意味着您处于危险之中。