Https- র সাহায্যে কীভাবে কোনও ওয়েবসাইট সুরক্ষিত করা যায়


87

একটি সংস্থার ব্যবসায়ের ডেটা বজায় রাখতে আমাকে একটি ছোট ওয়েবপ্যাপ তৈরি করতে হবে ... কেবলমাত্র সংস্থার মধ্যে থাকা ব্যক্তিরা এটি ব্যবহার করবেন, তবে আমরা এটিকে সর্বজনীন ডোমেনে হোস্ট করার পরিকল্পনা করছি, যাতে কর্মীরা বিভিন্ন অবস্থান থেকে অ্যাপে সংযোগ করতে পারেন । (এখন অবধি আমি কেবলমাত্র অভ্যন্তরীণভাবে হোস্ট করা ওয়েব অ্যাপস তৈরি করেছি)

আমি ভাবছি যে আমার কোনও সুরক্ষিত সংযোগ (https) ব্যবহার করা দরকার বা কেবল ফর্ম প্রমাণীকরণ যথেষ্ট।

আপনি যদি https বলেন তবে আমার কিছু প্রশ্ন রয়েছে:

  1. আমার ওয়েবসাইটটি https এর জন্য প্রস্তুত করার জন্য আমার কী করা উচিত। (আমার কি কোড / কনফিগার পরিবর্তন করতে হবে)
  2. এসএসএল এবং https এক এবং একই ...
  3. কিছু লাইসেন্স বা কিছু পাওয়ার জন্য আমার কি কারও সাথে আবেদন করা দরকার।
  4. আমার কী আমার সমস্ত পৃষ্ঠাগুলি সুরক্ষিত বা কেবল লগইন পৃষ্ঠা করার দরকার ...

আমি উত্তরের জন্য ইন্টারনেট অনুসন্ধান করছিলাম, তবে আমি এই সমস্ত পয়েন্ট পেতে সক্ষম হইনি ... কোনও শ্বেতপত্র বা অন্যান্য উল্লেখগুলিও সহায়ক হবে ...

আপনার আরও তথ্যের প্রয়োজন থাকলে নির্দ্বিধায় জিজ্ঞাসা করুন।

ধন্যবাদ

  • রাজা

হাই সব ... সকলের জন্য ধন্যবাদ ... আপনার সমস্ত উত্তর অত্যন্ত সহায়ক ছিল ... এখানে একটি উত্তর নির্বাচন করা অন্যায় হবে ... (এসোসির এই ধরনের অধিবেশনগুলির ব্যবস্থা থাকতে হবে)। অতএব, আমি একটি উত্তর নির্বাচন করেছি এবং অন্যদেরকে উজ্জীবিত করেছি ... নির্বাচিত উত্তরগুলি অন্যান্য উত্তরের মতোই গুরুত্বপূর্ণ ...
দ্য কিং

4
সতর্কতার অতিরিক্ত কাজ, তথ্যটি কতটা গোপনীয় (উদাহরণস্বরূপ ব্যক্তিগত তথ্য ফেডারেল আইনের সাথে সম্পর্কিত হতে পারে) এবং সংস্থার সাথে আপনার কী সম্পর্ক এবং চুক্তি রয়েছে তার উপর নির্ভর করে আপনি দায়বদ্ধ থাকবেন কিনা তা নিয়ে আপনি ভাবতে চাইতে পারেন কেউ সাইট হ্যাক করে।
huynhjl

আপনার সার্ভারে একবার শংসাপত্র ইনস্টল হয়ে গেলে, আইআইএসে আপনার ওয়েবসাইটটিতে https যুক্ত করার জন্য আপনাকে যা করতে হবে তা হ'ল সাইটে যেতে হবে এবং "বাইন্ডিংগুলি সম্পাদনা করুন", https নির্বাচন করুন এবং শংসাপত্রটি চয়ন করুন।
বিজিএম কোডার

উত্তর:


49

আমার ওয়েবসাইটটি https এর জন্য প্রস্তুত করার জন্য আমার কী করা উচিত। (আমার কি কোড / কনফিগার পরিবর্তন করতে হবে)

মাথায় সুরক্ষিত কোডিংয়ের জন্য আপনার সেরা অনুশীলনগুলি রাখা উচিত (এখানে একটি ভাল পরিচয়: http://www.owasp.org/index.php/Secure_Coding_Pr پرنسپلز ), অন্যথায় আপনার যা প্রয়োজন তা হ'ল সঠিকভাবে সেট আপ করা SSL শংসাপত্র।

এসএসএল এবং https এক এবং একই ..

বেশ, হ্যাঁ।

কিছু লাইসেন্স বা কিছু পাওয়ার জন্য আমার কি কারও সাথে আবেদন করা দরকার।

আপনি একটি শংসাপত্র কর্তৃপক্ষ থেকে একটি SSL শংসাপত্র কিনতে বা একটি স্ব স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারেন। আপনি যেগুলি কিনতে পারবেন সেগুলি দামের মধ্যে বিভিন্নভাবে পরিবর্তিত হয় - বছরে 10 ডলার থেকে কয়েকশো ডলার। উদাহরণস্বরূপ, যদি আপনি একটি অনলাইন শপ সেট আপ করেন তবে তাদের মধ্যে আপনার একটির প্রয়োজন হবে। স্ব-স্বাক্ষরিত শংসাপত্রগুলি একটি অভ্যন্তরীণ অ্যাপ্লিকেশনটির জন্য একটি কার্যকর বিকল্প। আপনি এর মধ্যে একটিরও উন্নয়নের জন্য ব্যবহার করতে পারেন। আইআইএস-এর জন্য স্ব-স্বাক্ষরিত শংসাপত্র কীভাবে সেটআপ করা যায় তার একটি ভাল টিউটোরিয়াল এখানে রয়েছে: করে আইআইএস 7.0 এ এসএসএল সক্ষম করা

আমার কি আমার সমস্ত পৃষ্ঠাগুলি সুরক্ষিত বা কেবল লগইন পৃষ্ঠা করার দরকার আছে ..

শুধু প্রাথমিক ব্যবহারকারী লগইন নয়, সমস্ত কিছুর জন্য এইচটিটিপিএস ব্যবহার করুন। এটি ওভারহেডের খুব বেশি পরিমাণে হবে না এবং এর অর্থ হ'ল ব্যবহারকারীরা আপনার দূরবর্তী অবস্থান থেকে হোস্ট করা অ্যাপ্লিকেশন থেকে যে ডেটা প্রেরণ / গ্রহণ করে তা বাইরের পক্ষগুলি দ্বারা বাধা দেওয়া থাকলে সেগুলি পড়তে পারে না। এমনকি Gmail এখন ডিফল্টরূপে HTTPS চালু করে।


4
আপনি নিখরচায় টিএলএস শংসাপত্রও পেতে পারেন, যাক আসুন এনক্রিপ্ট থেকে
1615903

8

ব্যবসায় ডেটা কী ধরণের ? ট্রেড সিক্রেটস বা কেবল স্টাফ যা তারা লোকেরা দেখতে চায় না তবে এটি যদি বের হয়ে যায়, তবে এটি কোনও বড় বিষয় হবে না? যদি আমরা ব্যবসায়ের গোপনীয়তা, আর্থিক তথ্য, গ্রাহকের তথ্য এবং সাধারণভাবে গোপনীয় জিনিসগুলি কথা বলি। তারপরেও সেই পথে নামবেন না।

আমি ভাবছি যে আমার কোনও সুরক্ষিত সংযোগ (https) ব্যবহার করা দরকার বা কেবল ফর্ম প্রমাণীকরণ যথেষ্ট।

পুরোপুরি একটি সুরক্ষিত সংযোগ ব্যবহার করুন।

আমার কি কোড / কনফিগার পরিবর্তন করতে হবে?

হ্যাঁ. ভাল নাও হতে পারে। আপনার জন্য বিশেষজ্ঞ এটি করতে চান।

এসএসএল এবং https এক এবং একই ...

বেশিরভাগ হ্যাঁ লোকেরা সাধারণত সেই জিনিসগুলিকে একই জিনিস হিসাবে উল্লেখ করে।

কিছু লাইসেন্স বা কিছু পাওয়ার জন্য আমার কি কারও সাথে আবেদন করা দরকার।

আপনি সম্ভবত একটি শংসাপত্র কর্তৃপক্ষ দ্বারা আপনার শংসাপত্র স্বাক্ষর করতে চান। এটি আপনার বা আপনার ক্লায়েন্টকে কিছুটা অর্থ ব্যয় করবে।

আমার কী আমার সমস্ত পৃষ্ঠাগুলি সুরক্ষিত বা কেবল লগইন পৃষ্ঠা করার দরকার ...

Https জুড়ে ব্যবহার করুন। পারফরম্যান্স সাধারণত কোনও সমস্যা হয় না যদি সাইটটি অভ্যন্তরীণ ব্যবহারকারীদের জন্য বোঝানো হয়।

আমি উত্তরের জন্য ইন্টারনেট অনুসন্ধান করছিলাম, তবে আমি এই সমস্ত পয়েন্ট পেতে সক্ষম হইনি ... কোনও শ্বেতপত্র বা অন্যান্য উল্লেখগুলিও সহায়ক হবে ...

কিছু পয়েন্টারের জন্য এখানে শুরু করুন: http://www.owasp.org/index.php/ ক্যাটাগরি: ওএএসপি_গুইড_প্রজেক্ট

নোট করুন যে এসএসএল আপনার ওয়েবসাইটটি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য একবার সুরক্ষিত করার একটি বিয়োগাত্মক অংশ। এটি বেশিরভাগ ধরণের হ্যাকিং প্রতিরোধ করে না।


তথ্যটি খুব গোপনীয় কিনা এবং এটি অনলাইনে না রাখার পরামর্শ দিচ্ছেন কিনা তা জিজ্ঞাসা করে সমস্ত উপায় সুরক্ষিত করা এবং বিপর্যয় রোধ করার বিষয়ে দৃ advice় পরামর্শের জন্য +1
ব্লুথ্রিন

7

আমি মনে করি আপনি নিজের সাইটের প্রমাণীকরণ এবং এসএসএল নিয়ে বিভ্রান্ত হচ্ছেন।

আপনার যদি নিজের সাইটটি এসএসএলে প্রবেশ করতে হয় তবে আপনার ওয়েব সার্ভারে আপনাকে একটি SSL শংসাপত্র ইনস্টল করতে হবে to সিম্যানটেক ইত্যাদির মতো একটি জায়গা থেকে আপনি নিজের জন্য একটি শংসাপত্র কিনতে পারেন।

আপনার উত্স কোডে আপনাকে কিছু করতে হবে না এবং আপনি এখনও নিজের সাইটে আপনার ফর্ম প্রমাণীকরণ (বা অন্য কোনও) ব্যবহার চালিয়ে যেতে পারেন। এটি ঠিক এটি, ওয়েব সার্ভার এবং ক্লায়েন্টের মধ্যে সংঘটিত কোনও ডেটা যোগাযোগ আপনার শংসাপত্রটি ব্যবহার করে এনক্রিপ্ট করা এবং স্বাক্ষরিত হবে। লোকেরা আপনার সাইটে অ্যাক্সেস করতে সুরক্ষিত- HTTP (https: //) ব্যবহার করবে।

আরও তথ্যের জন্য এটি দেখুন -> http://en.wikedia.org/wiki/Transport_Layer_Security


3

ব্যবসায়িক ডেটার জন্য, যদি ডেটা ব্যক্তিগত হয় তবে আমি একটি সুরক্ষিত সংযোগ ব্যবহার করব, অন্যথায় একটি ফর্ম প্রমাণীকরণ যথেষ্ট।

আপনি যদি কোনও সুরক্ষিত সংযোগ ব্যবহার করার সিদ্ধান্ত নেন, দয়া করে মনে রাখবেন যে সুরক্ষিত ওয়েবসাইটগুলির সাথে আমার অভিজ্ঞতা নেই, আমি আমার নিজের ব্যক্তিগত অভিজ্ঞতার সময় যা কিছু মুখোমুখি হয়েছিল তা পুনরায় পাঠাচ্ছি। আমি যদি যাইহোক ভুল করে থাকি তবে দয়া করে আমাকে সংশোধন করতে দ্বিধা বোধ করবেন।

আমার ওয়েবসাইটটি https এর জন্য প্রস্তুত করার জন্য আমার কী করা উচিত। (আমার কি কোড / কনফিগার পরিবর্তন করতে হবে)

আপনার ওয়েবসাইটের জন্য এসএসএল (সিকিউর সকেটস স্তর) সক্ষম করতে আপনাকে একটি শংসাপত্র সেট আপ করতে হবে, কোড বা কনফিগারেশন পরিবর্তন করা হয়নি।

এই অনলাইন টিউটোরিয়ালটি থেকে আমি ওপেনএসএসএল এবং অ্যাক্টিভ পার্ল ব্যবহার করে অভ্যন্তরীণ ওয়েব-সার্ভারের জন্য এসএসএল সক্ষম করেছি । যদি এটি বৃহত্তর দর্শকদের জন্য ব্যবহার করা হয় (আমার শ্রোতা 10 জনেরও কম ছিল) এবং সর্বজনীন ডোমেনে থাকে তবে আমি পেশাদার বিকল্প অনুসন্ধান করার পরামর্শ দিই।

এসএসএল এবং https এক এবং একই ...

হুবহু নয়, তারা একসাথে চলে! এসএসএল নিশ্চিত করে যে আপনি ওয়েবসাইটটি দেখার সময় ডেটা এনক্রিপ্ট করা এবং ডিক্রিপ্ট করা হয়েছে, httpsএটি ইউআরআই যা নিরাপদ ওয়েবসাইট অ্যাক্সেস করার প্রয়োজন। আপনি যখন http://secure.mydomain.comএটি অ্যাক্সেস করার চেষ্টা করবেন তখন আপনি খেয়াল করবেন একটি ত্রুটি বার্তা প্রদর্শন করে।

কিছু লাইসেন্স বা কিছু পাওয়ার জন্য আমার কি কারও সাথে আবেদন করা দরকার।

আপনার লাইসেন্স পাওয়ার দরকার নেই, বরং একটি শংসাপত্র। উদাহরণস্বরূপ ভেরি সিগনের মতো সুরক্ষিত ওয়েবসাইটগুলির সাথে পেশাদার পরিষেবাদি সরবরাহকারী সংস্থাগুলি আপনি সন্ধান করতে পারেন ।

আমার কী আমার সমস্ত পৃষ্ঠাগুলি সুরক্ষিত বা কেবল লগইন পৃষ্ঠা করার দরকার ...

আপনার শংসাপত্র একবার এর mydomain.comঅধীনে থাকা প্রতিটি পৃষ্ঠার জন্য সক্ষম হয়ে গেলে *.mydomain.comএটি সুরক্ষিত হবে।


1

৪.আমার আমার সমস্ত পৃষ্ঠাগুলি সুরক্ষিত বা কেবল লগইন পৃষ্ঠা করার দরকার ...

লগইন পৃষ্ঠাটি কেবল https এর মধ্যে রাখুন

এটি নিশ্চিত করবে যে অন্যান্য পৃষ্ঠাগুলি ব্রাউজ করার সময় কোনও ওভারহেড নেই। শর্তটি হ'ল আপনাকে ওয়েব কনফিগারেশনে সঠিক প্রমাণীকরণ সেটিংস সরবরাহ করতে হবে। এটি লগ ইন নেই এমন ব্যবহারকারীরা এমন পৃষ্ঠাগুলি ব্রাউজ করতে পারবেন না যা প্রমাণীকরণের প্রয়োজন হবে তা নিশ্চিত করার জন্য এটি।


4
টিএলএস এর আওতায় আপনার সাইটের কেবলমাত্র অংশে সেবা দেওয়া অসুরক্ষিত। একটি সক্রিয় আক্রমণকারী এসএসএল স্ট্রিপ ব্যবহার করতে পারে এবং অনুমিত সুরক্ষিত পৃষ্ঠাগুলিতে অ্যাক্সেস পেতে পারে।
তোবু

1

@ বালালক্ষ্মী সঠিক প্রমাণীকরণের সেটিংস সম্পর্কে উল্লেখ করেছেন। প্রমাণীকরণ সমস্যাটির অর্ধেক, বাকি অর্ধেকটি অনুমোদন।

যদি আপনি ফর্ম প্রমাণীকরণ এবং স্ট্যান্ডার্ড নিয়ন্ত্রণগুলি ব্যবহার করেন তবে যেমন আপনার <asp:Login>কয়েকটি অনুমোদিত ব্যবহারকারীরা সুরক্ষিত পৃষ্ঠাগুলি অ্যাক্সেস করতে পারে তা নিশ্চিত করার জন্য আপনাকে কয়েকটি জিনিস করতে হবে।

ইন web.config, <system.web>বিভাগের অধীনে আপনাকে ডিফল্টরূপে বেনামে অ্যাক্সেস অক্ষম করতে হবে:

<authorization>
 <deny users="?" />
</authorization>

বেনামে অ্যাক্সেস করা হবে এমন যে কোনও পৃষ্ঠাতে (যেমন লগইন.এএসপিএক্স পৃষ্ঠা নিজেই) অবিচ্ছিন্ন অ্যাক্সেসের পুনরায় মঞ্জুরি দেয় এমন একটি ওভাররাইড থাকা দরকার। এই প্রয়োজন <location>উপাদান এবং এ অবস্থিত হবে <configuration>(স্তর বাইরে<system.web> অধ্যায়) এই মত:

<!-- Anonymous files -->
<location path="Login.aspx">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

নোট করুন যে আপনাকে বেনামি পৃষ্ঠাগুলি দ্বারা ব্যবহৃত কোনও স্টাইল শীট বা স্ক্রিপ্টগুলিতে বেনামে অ্যাক্সেসের অনুমতি দিতে হবে:

<!-- Anonymous folders -->
<location path="styles">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

সচেতন থাকুন যে অবস্থানটির pathবৈশিষ্ট্যটি web.configফোল্ডারের সাথে সম্পর্কিত এবং ~/বেশিরভাগ অন্যান্য পাথ-ধরণের কনফিগারেশন বৈশিষ্ট্যগুলির বিপরীতে উপসর্গ থাকতে পারে না ।


-2

যেমন পিএইচপি তে বুট ডিরেক্টরি তৈরি করার চেষ্টা করুন

<?PHP
$ip = $_SERVER['REMOTE_ADDR'];
$privacy = ['BOOTSTRAP_CONFIG'];
$shell   = ['BOOTSTRAP_OUTPUT'];
enter code here
if $ip == $privacy {
function $privacy int $ip = "https://";
} endif {
echo $shell
}
?>

মূলত এটি!


4
এটি প্রকৃতপক্ষে প্রশ্নের উত্তর দিচ্ছে না
Andreas
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.