0
모든 클라이언트의 파일을 서버에 저장하지만 내 처리를 수행하는 CMS 앱을 개발했습니다. 즉, 개발 한 유용한 코드를 유지하면서 사용자 제출 코드가 내 사이트를 취약하게 만들지 못하게합니다. 이제 문제는 사용자가 자신의 웹 사이트를 편집 할 수있는 제어판이 있습니다.이 사이트는 웹 사이트에서 호스팅되며 1 페이지 분이지만 로그인 세부 정보/세션은 항상 내 웹 사이트에 있습니다.두 대의 다른 서버에서 로그인을 인증하려면 어떻게합니까?
전달 된 토큰이 유효한 경우에만 사이트의 편집 페이지를 액세스 할 수있는 방법이 있다고 생각했습니다. 두 사이트 모두 동일한 토큰을 개발하고 확인하는 데 동일한 방법을 사용할 수 있습니다. 이 허용되는 보안, 내가 생각할 수있는 유일한 방법은 URL이 어떻게 든 스니핑되었고 토큰이 유효하다는 것과 같은 시간대에 독립적으로 사용되었다는 것입니다. 헤더 검사는 선택적 보안 비트이지만 위조 될 수 있으므로 절대적인 해결책은 아닙니다. 사용자의 웹 트래픽을 차단하는 것이 얼마나 쉬운 지 모르겠다.이 방법을 사용해도 괜찮습니까? 사전에
감사합니다.
답장을 보내 주셔서 감사합니다. 클라이언트 서버를 사용하기 때문에 SSL 기능이 없을 수도 있지만 SSL을 사용할 수 없습니다. 편집 페이지는 내 백엔드 서버로 연결됩니다. 주요 문제는 악의적 인 사용자가 편집 페이지에 액세스하는 것을 원하지 않는다는 것입니다. 클라이언트 웹 사이트에 심각한 손상을 줄 수 있기 때문입니다. – Ally
SSL을 사용할 수없는 경우 보안 옵션을 심각하게 제한합니다 (기본적으로 MITM을 보장하거나 재생 공격이 가능함). 즉, 내가 부르는 것을 의미하는 것은 편집 페이지가 모든 * (심지어 로컬) 작업을 수행하기 전에 백엔드 서버에 호출해야한다는 것입니다. 이렇게하면 백엔드 서버와의 링크의 안정성에 의존하지 만 손상을 방지 할 수 있습니다. –
당신이 무엇을 의미하는지 완전히 모르겠지만, 당신이 그것에 대해 더 많은 도움을 주었던 답변을 주셔서 감사합니다. 나는 두 가지 방법으로 ssl을 시뮬레이트하기 위해 rsa 암호화를 사용한다면 마음에있는 해결책이 있다고 생각합니다. 사실 MITM 공격에 여전히 취약합니다. – Ally