사용자 이름 및 비밀번호가없는 사이트 관리자

Question

지금 당장 개인 사이트/블로그를 만들고있어 내가 원하는 방식대로 블로그에 글을 올리는 방법에 대해 두 가지 생각 만하고 있습니다.

로그인 할 사용자/이름 비밀번호가있는 게시물을 추가 할 사람은 나뿐 인 것 같습니다.).

내가 주변에 실험 재생 대안에 찾고 있어요 그리고 내가 가진 하나 개의 아이디어가 이것이다 :

는 비대칭 키를 생성, 개인적으로 개인을 유지하고 사이트는 공개 키를 가지고있다. 게시물을 추가하거나 내용을 수정하려고하면 사이트에서 임의의 문자열을 생성하고 공개 키로 암호화하여 표시합니다. 나는 함께 채찍질 할 수있는 작은 응용 프로그램을 사용하여 암호를 해독하고 수정을 계속할 수있는 사이트에 다시 암호화되지 않은 문자열을 전달합니다.

나는 밖으로 나가야하는주의 사항에 대해 궁금한 점이 있거나 누군가가 이것이 나쁜 생각이라고 생각하면 대안을 시도 할 수 있을지 궁금합니다.

Answer 1

사용자 이름과 암호가 있고 웹 브라우저에서 로그인을 기억하게하거나 만료되지 않는 인증 쿠키를 보내지 않는 이유는 무엇입니까? 자체 서명 된 SSL 인증서를 사용하여 통신 채널을 보호하십시오. 공용/개인 키 암호를 사용하려면 SSH 터널을 설정하고 서버의 localhost에서 게시하십시오. 저를 믿으십시오, 당신의 자신을 구르는 것을 시도하기보다는 알려진 좋은 암호 또는 안전을 재사용하는 것이 낫다.

Answer 2

비대칭 키는 우아한 해결책이라고 생각합니다. 그러나 사용자 이름/암호는 거의 구현하기가 쉽습니다.

자신 만의 사이트를 만들고 있다면 (그렇지 않으면 WordPress, Drupal, Django 등을 사용하게 될 것입니다.) 왜 다르게하지 않습니까?

블로그를 원하지만 자신을 식별 할 수있는 수단이 없으면 키 맥 앱을 휴대해야하는 경우 약간의 제한이있을 수 있습니다.

그러나 @Kurt는 암호에 대해 올바른 생각을 가지고 있습니다. DIY는 이미 시도하고 테스트 한 것을 사용하는 것보다 거의 확실하게 악화 될 것입니다.

Answer 3

보안에 관해 내가 들었던 가장 현명한 성명 중 하나는 "시도하지 말고 다시 발명하지 마십시오"입니다.

온라인 보안은 너무 많은 반복을 통해 밝기가 밝아지면 이전에 발견되어 고쳐지고 수정 된 몇 가지 결함이있을 가능성이 큽니다.

"캐주얼"보안을 원할 경우 사용자 이름과 암호로 사이트를 보호하십시오. "강력한"보안을 원하면 SSL 인증서를 그 위에 붙이십시오. "은행"보안을 원한다면 안티 키 스트로크 보안을 추가하십시오.

Answer 4

제안에서 한 단계 더 나아가 암호화 된 문자열을 URL에 삽입하지 않으시겠습니까?

예를 들어, 현재 날짜와 시간을 문자열로 변환하십시오. 0904240905 - 비공개 키로 암호화하여 URL에 추가합니다 (예 : http://yoursite.com/admin/dksjfh4d392s 여기서 dksjfh4d392s은 암호화 된 문자열입니다. 그런 다음 사이트에는 URL에서 암호화 된 문자열을 추출한 서블릿이 있으며 최근 시간에 해독 된 것을 확인한 다음 세션 쿠키를 제공하면서 관리 작업을 수행 할 수 있습니다.

Answer 5

SSL 클라이언트 인증서가이를 수행합니다. 왜 그 중 하나만 사용하지 않는가?

SSL 클라이언트 인증서를 사용하지 않는 주된 이유는 관리상의 악몽이기 때문입니다. 최종 사용자가 키를 만든 다음 인증서에 서명하고 최종 사용자가 ' 열쇠를 잃어 버리면 (노트북을 잃어 버렸을 때, 새로운 OS로 업그레이드 할 때 등등), 최종 사용자가 개인 키를 잃어 버렸을 때 더 많은 인증서에 서명해야합니다.