কোনও ওয়েবসাইটের প্রশাসক বিভাগ সুরক্ষিত করার জন্য সেরা অনুশীলনগুলি কী কী? [বন্ধ]

92

আমি বিশেষত একটি প্রমাণীকরণ / অ্যাক্সেস পয়েন্টের দৃষ্টিকোণ থেকে ওয়েবসাইটগুলির প্রশাসনিক বিভাগগুলি সুরক্ষিত করার জন্য লোকেরা সর্বোত্তম অনুশীলনটি কী বিবেচনা করে তা জানতে চাই।

অবশ্যই কিছু স্পষ্ট বিষয় আছে যেমন এসএসএল ব্যবহার এবং সমস্ত অ্যাক্সেস লগ করা, তবে আমি ভাবছি ঠিক এই মূল পদক্ষেপের উপরে লোকেরা বারটি সেট করা বিবেচনা করে।

উদাহরণ স্বরূপ:

  • আপনি কি সাধারণ ব্যবহারকারীদের জন্য একই প্রমাণীকরণ পদ্ধতি ব্যবহার করছেন? তা না হলে কী?
  • আপনি কি একই 'অ্যাপ্লিকেশন ডোমেনে' অ্যাডমিন বিভাগটি চালাচ্ছেন?
  • প্রশাসক বিভাগটি অনাবৃত করতে আপনি কী পদক্ষেপ গ্রহণ করেন? (বা আপনি পুরো 'অস্পষ্টতা' জিনিসটি প্রত্যাখ্যান করেন)

এখনও অবধি উত্তরদাতাদের পরামর্শগুলির মধ্যে রয়েছে:

  • ব্রুট ফোর্স আক্রমণ প্রতিরোধ করতে প্রতিটি প্রশাসক পাসওয়ার্ড চেকের মধ্যে একটি কৃত্রিম সার্ভার-সাইড বিরতি প্রবর্তন করুন [বিকাশকারী আর্ট]
  • একই ডিবি টেবিল ব্যবহার করে ব্যবহারকারী এবং প্রশাসনের জন্য পৃথক লগইন পৃষ্ঠাগুলি ব্যবহার করুন (এক্সএসআরএফ এবং সেশন-চুরি বন্ধ করতে প্রশাসক অঞ্চলে প্রবেশের অনুমতি দেওয়া হয়েছে ] [চোর মাস্টার]
  • অ্যাডমিন অঞ্চলে (যেমন .htaccess মাধ্যমে) [চোর মাস্টার] ওয়েবসভার দেশীয় প্রমাণীকরণ যুক্ত করার বিষয়েও বিবেচনা করুন
  • বেশ কয়েকটি ব্যর্থ অ্যাডমিন লগইন প্রচেষ্টা [চোর মাস্টার] পরে ব্যবহারকারীদের আইপি ব্লক করার বিষয়টি বিবেচনা করুন
  • অ্যাডমিন লগইন প্রচেষ্টা ব্যর্থ হওয়ার পরে ক্যাপচা যোগ করুন [চোর মাস্টার]
  • ব্যবহারকারীদের পাশাপাশি প্রশাসকদের জন্য সমানভাবে শক্তিশালী ব্যবস্থা (উপরের কৌশলগুলি ব্যবহার করে) সরবরাহ করুন (যেমন অ্যাডমিনদের বিশেষভাবে ব্যবহার করবেন না) [লো'রিস]
  • দ্বিতীয় স্তরের প্রমাণীকরণ বিবেচনা করুন (যেমন ক্লায়েন্ট শংসাপত্র, স্মার্ট কার্ড, কার্ডস্পেস ইত্যাদি) [জোজিকি]
  • কেবলমাত্র বিশ্বস্ত আইপি / ডোমেন থেকে অ্যাক্সেসের অনুমতি দিন, সম্ভব হলে বেসিক এইচটিটিপি পাইপলাইনে (যেমন HTTPModules এর মাধ্যমে) চেক যুক্ত করুন। [জোজিকি]
  • [এএসপি.নেট] আইপিআরসিনাল এবং অধ্যক্ষকে লক ডাউন করুন (এগুলিকে অপরিবর্তনীয় এবং অগণনীয় করুন ) [জো জিকি]
  • ফেডারেট রাইটস এলভেশন - যেমন কোনও প্রশাসকের অধিকার আপগ্রেড করা হয় তখন অন্য প্রশাসকদের ইমেল করুন। [জোজিকি]
  • প্রশাসকদের জন্য সূক্ষ্ম-অধিকারযুক্ত অধিকারগুলি বিবেচনা করুন - যেমন ভূমিকা সম্পর্কিত ভিত্তিক অধিকারের চেয়ে অ্যাডমিনের প্রতি নির্দেশক ক্রিয়াকলাপের জন্য অধিকারগুলি সংজ্ঞায়িত করুন [জোজিকি]
  • প্রশাসকদের তৈরি সীমাবদ্ধ করুন - যেমন প্রশাসকগুলি অন্য প্রশাসক অ্যাকাউন্টগুলি পরিবর্তন করতে বা তৈরি করতে পারে না। এটির জন্য একটি লকডাউন 'সুপ্রেডমিন' ক্লায়েন্ট ব্যবহার করুন। [জোজিকি]
  • ক্লায়েন্ট সাইড এসএসএল শংসাপত্রগুলি, বা আরএসএ টাইপ কীফবস (বৈদ্যুতিন টোকেন) বিবেচনা করুন [ড্যানিয়েল পাপাসিয়ান]
  • যদি প্রমাণীকরণের জন্য কুকি ব্যবহার করে থাকেন তবে অ্যাডমিন বিভাগটি অন্য কোনও ডোমেনে রেখে, অ্যাডমিন এবং সাধারণ পৃষ্ঠাগুলির জন্য পৃথক কুকি ব্যবহার করুন। [ড্যানিয়েল পাপাসিয়ান]
  • ব্যবহারিক হলে অ্যাডমিন সাইটটিকে সরকারী ইন্টারনেট থেকে দূরে একটি ব্যক্তিগত সাবনেটে রাখার বিষয়ে বিবেচনা করুন। [জন হার্টসক]
  • ওয়েবসাইটের অ্যাডমিন / সাধারণ ব্যবহারের প্রসঙ্গের মধ্যে চলাকালীন লেখক / সেশন টিকিট পুনরায় বিতরণ করুন [রিচার্ড জে পি লে গুয়েন]
security  authentication 
আপক্রিক
সূত্র
4
শুধু একটি চিন্তা কিন্তু। সম্ভবত প্রশাসনিক বিভাগটি সুরক্ষিত করার সর্বোত্তম উপায় হ'ল এটি পাবলিক ইন্টারনেটে নেই have আপনি অ্যাডমিন সাইটটি কেবল একটি ব্যক্তিগত সাবনেটে রাখতে বেছে নিতে পারেন।
জন হার্টসক
4
এই আইডিয়াগুলির মধ্যে আপনি যেটি নির্দিষ্ট করেছেন তা কেবল প্রশাসকদের নয়, সমস্ত ব্যবহারকারীর জন্য প্রয়োগ করা ভাল ধারণা হবে না?
ভিভিয়ান নদী
আপনি WebLoginProject চেক করতে পারেন webloginproject.com এটা একটি সহযোগীতা লগইন সিস্টেম স্থল ডিজাইন করা হয়েছে পদ্ধতি এটা XSS, এসকিউএল ইনজেকশন, সেশন স্থায়ীকরণ এবং CSRF দুর্বলতা বিরুদ্ধে নিরাপদ হতে হয়। এটির এএসপি এবং পিএইচপি তে সোর্স কোড রয়েছে, এটি বহু ভাষা এবং এটি দুর্দান্ত দেখাচ্ছে looks এতে অনেকগুলি বিকাশকারী গর্ত ফিক্সিংয়ে কাজ করছেন যাতে এটি সম্ভবত এটি যতটা সুরক্ষিত পেতে পারে তত কাছাকাছি।
স্টাগাগুলি
ভয়ঙ্করভাবে ভুল "শক্তিশালী পাসওয়ার্ড" (যা পরিবর্তে এটি একটি খুব দুর্বল পাসওয়ার্ড) অন্তর্ভুক্ত করার জন্য প্রস্তাবনা
o0 '।
@ লোহরিস - আপনি কেন এই প্রশ্নটিকে নিম্নচাপ দিয়েছিলেন তা আমি সত্যিই বুঝতে পারি না। আপনি কি কারও সাথে পরামর্শ দিচ্ছেন না যে আপনি সম্মত নন? সম্ভবত সম্পর্কিত উত্তরকে নিম্নমান দেওয়া আরও গঠনমূলক হবে। : / আপনার ঠিক কী সমস্যা রয়েছে তা আপনি পরিষ্কার করে বলতে পারেন?
আপক্রিক

উত্তর:

19

এগুলি সব ভাল উত্তর ... আমি সাধারণত আমার প্রশাসনিক বিভাগগুলির জন্য কয়েকটি অতিরিক্ত স্তর যুক্ত করতে চাই। যদিও আমি একটি থিমটিতে কয়েকটি প্রকরণ ব্যবহার করেছি, তবে তারা সাধারণত নিম্নলিখিতগুলির মধ্যে একটি অন্তর্ভুক্ত করে:

  • দ্বিতীয় স্তরের প্রমাণীকরণ : এতে ক্লায়েন্ট শংসাপত্রগুলি (উদাহরণস্বরূপ x509 শংসাপত্র), স্মার্ট কার্ড, কার্ডস্পেস ইত্যাদি অন্তর্ভুক্ত থাকতে পারে ...
  • ডোমেন / আইপি বিধিনিষেধ : এই ক্ষেত্রে কেবল বিশ্বস্ত / যাচাইযোগ্য ডোমেনগুলি থেকে আসা ক্লায়েন্টরা; যেমন অভ্যন্তরীণ subnets; প্রশাসক অঞ্চলে অনুমতি দেওয়া হয়। দূরবর্তী প্রশাসকরা প্রায়শই বিশ্বস্ত ভিপিএন এন্ট্রিপয়েন্টগুলিতে যান যাতে তাদের সেশনটি যাচাইযোগ্য হয় এবং প্রায়শই পাশাপাশি আরএসএ কী দ্বারা সুরক্ষিত থাকে। আপনি যদি এএসপি.এনইটি ব্যবহার করে থাকেন তবে আপনি এইচটিটিপি পাইপলাইনে এইচটিটিপি মডিউলগুলির মাধ্যমে সহজেই এই চেকগুলি সম্পাদন করতে পারবেন যা সুরক্ষা চেকগুলি সন্তুষ্ট না হলে আপনার আবেদনটি কোনও অনুরোধ গ্রহণ করা থেকে বিরত করবে।
  • লক ডাউন আইপিডিয়ান্সাল এবং অধ্যক্ষ ভিত্তিক অনুমোদন : কাস্টম নীতিমালা তৈরি করা একটি সাধারণ অনুশীলন, যদিও একটি সাধারণ ভুল তাদের পরিবর্তনযোগ্য এবং / অথবা অধিকারকে গণনার যোগ্য করে তুলছে । যদিও এটি কেবল কোনও অ্যাডমিন ইস্যু নয়, এটি আরও গুরুত্বপূর্ণ কারণ এখানে ব্যবহারকারীদের উচ্চতর অধিকারের সম্ভাবনা রয়েছে। নিশ্চিত হন যে এগুলি পরিবর্তনযোগ্য এবং অগণনীয় নয়। অতিরিক্ত হিসাবে, অনুমোদনের সমস্ত মূল্যায়ন অধ্যক্ষের ভিত্তিতে করা হয়েছে তা নিশ্চিত করুন।
  • ফেডারেট রাইটস এলভেশন : যখন কোনও অ্যাকাউন্ট নির্বাচিত কয়েকটি সংখ্যক অধিকার পায়, তখন সমস্ত প্রশাসক এবং সুরক্ষা অফিসারকে তাত্ক্ষণিক ইমেলের মাধ্যমে অবহিত করা হয়। এটি নিশ্চিত করে যে কোনও আক্রমণকারী যদি অধিকারগুলি উন্নত করে তবে আমরা এখনই জানি। এই অধিকারগুলি সাধারণত প্রাইভেলজড রাইটস, গোপনীয়তা সুরক্ষিত তথ্য এবং / অথবা আর্থিক তথ্য (যেমন ক্রেডিট কার্ড) দেখার অধিকারগুলি ঘিরে থাকে olve
  • অ্যাডমিনিস্টারেও কিছুটা স্বল্প পরিমাণে ইস্যু করুন : অবশেষে এবং এটি কিছু দোকানের জন্য আরও কিছুটা অগ্রসর হতে পারে। অনুমোদনের অধিকারগুলি যথাসম্ভব বিচক্ষণ হওয়া উচিত এবং প্রকৃত কার্যকরী আচরণগুলি ঘিরে রাখা উচিত। সাধারণ ভূমিকা-ভিত্তিক সুরক্ষা (আরবিএস) পদ্ধতির একটি গ্রুপ মানসিকতা থাকে। সুরক্ষা দৃষ্টিকোণ থেকে এটি সেরা প্যাটার্ন নয়। ' ইউজার ম্যানেজার ' এর মতো ' গ্রুপ ' এর পরিবর্তে এটিকে আরও ভেঙে দেওয়ার চেষ্টা করুন ( উদাঃ ব্যবহারকারী তৈরি করুন, ব্যবহারকারীকে অনুমোদন দিন, অ্যালভেট করুন / অ্যাক্সেসের অধিকার প্রত্যাহার করুন, ইত্যাদি ...))। প্রশাসনের দিক থেকে এটিতে আরও কিছুটা ওভারহেড থাকতে পারে তবে এটি আপনাকে কেবলমাত্র বৃহত্তর অ্যাডমিন গোষ্ঠী দ্বারা প্রয়োজনীয় অধিকারগুলি অর্পণ করতে নমনীয়তা দেয়। অ্যাক্সেসে আপোস করা হলে কমপক্ষে তারা সমস্ত অধিকার নাও পেতে পারেন। আমি এটি নেট অ্যাক্সেস সিকিউরিটি (সিএএস) .NET এবং জাভা দ্বারা সমর্থিত অনুমতিগুলিতে গুটিয়ে রাখতে চাই, তবে এটি এই উত্তরের বাইরে নয়। আরও একটি বিষয় ... একটি অ্যাপ্লিকেশনে প্রশাসকরা অন্যান্য প্রশাসক অ্যাকাউন্ট পরিবর্তন করতে বা কোনও ব্যবহারকারীকে প্রশাসক করতে পারে না। এটি কেবলমাত্র একটি লক ডাউন ক্লায়েন্টের মাধ্যমেই করা যেতে পারে যা কেবলমাত্র দু'জন লোক অ্যাক্সেস করতে পারে।
জোজিকি
সূত্র
19

যদি ওয়েবসাইটটিতে নিয়মিত ক্রিয়াকলাপ এবং প্রশাসকদের উভয়ের জন্য লগইন প্রয়োজন হয়, যেমন একটি ফোরাম, আমি পৃথক লগইন ব্যবহার করব যা একই ব্যবহারকারীর ডাটাবেস ব্যবহার করে। এটি নিশ্চিত করে যে এক্সএসআরএফ এবং সেশন-চুরি আক্রমণকারীকে প্রশাসনিক অঞ্চলগুলিতে অ্যাক্সেস করতে দেবে না।

তদ্ব্যতীত, যদি অ্যাডমিন বিভাগটি একটি পৃথক উপ-ডিরেক্টরিতে থাকে তবে ওয়েবসভারের প্রমাণীকরণের সাথে সেটি সিকিউর করে (উদাহরণস্বরূপ অ্যাপাচে হিট্যাক্সেস) একটি ভাল ধারণা হতে পারে - তবে কারও কাছে সেই পাসওয়ার্ড এবং ব্যবহারকারীর পাসওয়ার্ড উভয়েরই প্রয়োজন।

অ্যাডমিন পাথ অবলম্বন করা প্রায় কোনও সুরক্ষা লাভ দেয় না - যদি কেউ বৈধ লগইন ডেটা জানেন তবে তিনি সম্ভবত অ্যাডমিন সরঞ্জামের পথটি খুঁজে পেতে সক্ষম হবেন যেহেতু তিনি হয় এটি ফিশ করেছেন বা আপনাকে কীলগ করেছেন বা সোস্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে পেয়েছেন (যা সম্ভবত প্রকাশিত হবে) পাথ, খুব)।

3 টি ব্যর্থ লগইন হওয়ার পরে ব্যবহারকারীর আইপি ব্লক করা বা ব্যর্থ লগইনের পরে একটি ক্যাপচা প্রয়োজন (যেমন লগইন ব্যবহারকারীদের জন্য অত্যন্ত বিরক্তিকর হিসাবে প্রথম লগইনের জন্য নয়) এর মতো একটি নিষ্ঠুর শক্তি সুরক্ষাও কার্যকর হতে পারে।

চোরমাস্টার
সূত্র
9
  • আমি অস্পষ্টতা প্রত্যাখ্যান করি
  • একের পরিবর্তে দুটি প্রমাণীকরণ সিস্টেম ব্যবহার করা ওভারকিল
  • চেষ্টাগুলির মধ্যে কৃত্রিম বিরতি ব্যবহারকারীদের জন্যও করা উচিত
  • ব্যর্থ প্রচেষ্টাগুলির আইপিগুলি ব্লক করা ব্যবহারকারীদের জন্যও করা উচিত
  • ব্যবহারকারীদের দ্বারাও শক্তিশালী পাসওয়ার্ড ব্যবহার করা উচিত
  • আপনি যদি ক্যাপচাকে ঠিকঠাক বিবেচনা করেন তবে অনুমান করুন কী, আপনি সেগুলি ব্যবহারকারীদের জন্যও ব্যবহার করতে পারেন

হ্যাঁ, এটি লেখার পরে, আমি বুঝতে পারি যে এই উত্তরটি "অ্যাডমিন লগইনের জন্য বিশেষ কিছু নয়, সেগুলি সমস্ত সুরক্ষা বৈশিষ্ট্য যা কোনও লগইনের জন্য ব্যবহার করা উচিত" হিসাবে সংক্ষিপ্ত করা যেতে পারে।

o0 '।
সূত্র
6
উত্তর করার জন্য ধন্যবাদ. ব্যক্তিগতভাবে আমি দ্বিমত পোষণ করি, যেমন: কোনও ব্যবহারকারী 'ksd83,' | 4d # rrpp0% 27 & lq (go43 $ sd {3> ') এর মতো পাসওয়ার্ড দিয়ে খুশি হবেন? এবং, বৈধ ব্যবহারকারীরা যে আইপি ব্লকগুলি ট্রিগার করেছেন তা পুনরায় সেট করা হচ্ছে না? ভুলে যাওয়া অযৌক্তিক অ্যাডমিন / গ্রাহক
পরিষেবাদি
4
প্রশাসনের পাসওয়ার্ড জটিল হওয়া উচিত তবে অতিরিক্ত জটিল হওয়া উচিত নয়, অন্যথায় এমনকি প্রশাসক এটিকে মনে রাখবেন না এবং এটি কোথাও লিখে ফেলবেন (আপনি তাকে প্রতিটি সুরক্ষা বিধি অস্বীকার করতে বাধ্য করবেন)। অস্থায়ীভাবে ব্যর্থ প্রচেষ্টা দিয়ে আইপিগুলি অবরুদ্ধ করা বেশ মানক, ভুবলেটিন এটি করেন, পিএইচপিবিবি এটি আইআইআরসি করে, ব্যবহারকারীরা এতে অভ্যস্ত।
o0 '
সুরক্ষার সেরা অনুশীলনের জন্য আমি সত্যিই
পিএইচপিবিবি বা ভবলেটিনের
@ ইউপি-ক্রিক অবশ্যই, আমি সম্মত! আমি কেবল এটিই জিজ্ঞাসা করছিলাম যে "আইপি ব্লকগুলি পুনরায় সেট করা হচ্ছে না যা বৈধ ব্যবহারকারীরা ভুলে যাওয়া ভুলে যাওয়ার জন্য অযৌক্তিক প্রশাসক / গ্রাহক পরিষেবাদি কাজ তৈরি করতে ভ্রান্ত হয়ে ট্রিগার করেছেন" <- আমি মনে করি না এটি কোনও সমস্যা হবে কারণ ব্যবহারকারীরা ইতিমধ্যে ব্যবহার করেছেন যেমন একটি বৈশিষ্ট্য।
o0 '
3

আপনি যদি ব্যবহারকারীদের জন্য কেবলমাত্র একক লগইন ব্যবহার করেন যাদের সাধারণ ব্যবহারকারীর সুবিধাদি এবং অ্যাডমিন সুবিধাদি উভয়ই থাকে তবে তাদের সেশন শনাক্তকরণটি পুনরায় জেনারেট করুন (এটি কোনও কুকিতে বা জিইটি প্যারামিটারে বা যাই হোক না কেন ...) এর স্তরে কোনও পরিবর্তন হলে বেসরকারী ... খুব কমপক্ষে।

সুতরাং যদি আমি লগ ইন করি, সাধারণ ব্যবহারকারী স্টাফগুলির একগুচ্ছ করুন এবং তারপরে একটি প্রশাসক পৃষ্ঠায় যান, আমার সেশন আইডিটি পুনঃজেনার করুন। আমি যদি তখন কোনও প্রশাসক পৃষ্ঠা (গুলি) থেকে সাধারণ ব্যবহারকারী পৃষ্ঠায় নেভিগেট করি তবে আমার আইডিটি আবার জেনারেট করুন।

রিচার্ড জেপি লে গুয়েন
সূত্র
আপনি কি দয়া করে ব্যাখ্যা করতে পারেন এটি কী অর্জন করে?
ডেনিস সেশেনভ
রিচার্ড জে পি লে গুয়েন
আমি বিশ্বাস করি এটি আপনার বিবেচনায় ততটা সহায়তা করবে না। কারণ আক্রমণকারী যদি সাধারণ ব্যবহারকারী পৃষ্ঠায় আপনার বর্তমান সেশন আইডিটি পেতে সক্ষম হয় তবে তিনি এডমিন পৃষ্ঠায় অ্যাক্সেস করতে এবং নিজেকে একটি নতুন সেশন আইডি তৈরি করতে ব্যবহার করতে পারেন। আমি ভুল হলে শুধরে.
ডেনিস সেশেনভ
4
তবে আক্রমণকারী কোনও পাসওয়ার্ড ছাড়াই প্রশাসক পৃষ্ঠায় অ্যাক্সেস করতে পারে না। অনুমোদনের পরে অবধি সুবিধার স্তরে কোনও পরিবর্তন হয়নি। সেশন আইডি পুনরায় জেনারেট করতে ব্যর্থ হওয়ার অর্থ তারা প্রমাণীকরণের আশেপাশে সুরক্ষিতভাবে তৈরি একটি সেশনটি পুনরায় ব্যবহার করতে পারে।
রিচার্ড জে পি লে গুয়েন
এখন বুঝতে পেরেছি. আমি ভাবছিলাম আপনি এমন একটি দৃশ্যের বর্ণনা দিয়েছেন যেখানে ব্যবহারকারীরা স্বাভাবিক / অ্যাডমিন প্রসঙ্গে পাল্টে গেলে পুনরায় লগইন করতে হয় না।
ডেনিস সেশেনভ
1

একটি ভাল অ্যাডমিন পাসওয়ার্ড আছে।

না "123456"কিন্তু বর্ণ, সংখ্যা এবং বিশেষ অক্ষর দীর্ঘ যথেষ্ট একটি ক্রম, বলতে 15-20 অক্ষর। ভালো লেগেছে "ksd83,'|4d#rrpp0%27&lq(go43$sd{3>"

ব্রুট ফোর্স আক্রমণ প্রতিরোধ করতে প্রতিটি পাসওয়ার্ড চেকের জন্য একটি বিরতি যুক্ত করুন।

একটি 'বিরতি' কি হতে পারে আপনি কিছুটা ব্যাখ্যা করতে পারেন? আপনি কি কিছু সময় নিখুঁত করার জন্য থ্রেড.স্লিপ (5000) এর মতো কিছু করার কথা উল্লেখ করছেন?
earthling
6
এটি বোকা: মনে রাখা খুব জটিল একটি পাসওয়ার্ড কোথাও লিখিত হবে (বা সংরক্ষিত), সুতরাং যদি আপনি সত্যিকারের ভাল পাসওয়ার্ডের অনুমতি দেয় (তবে একটি পাসওয়ার্ড যা টাইপ করা হবে কারণ আপনি এটি অনুলিপি করে অনুলিপিটি আটকে দিয়েছেন) )।
o0 '
4
ওহ, আমি আশা করি আমি এই বকাঝকাটিকে পাথরের যুগে নামিয়ে দিতে পারতাম, এটি এত নির্বোধ, এত ভুল ... আমি এইর মতো ভুল তথ্য ছড়িয়ে মানুষকে ঘৃণা করি।
o0 '
4
@ লো'রিস: আপনি ঠিক এর সাথে একমত নন কি?
4
আমি এটি লিখেছি ... মত ... ঠিক উপরে মন্তব্য?
o0 '
1

এখানে আরও কিছু বিষয় বিবেচনা করতে হবে:

  1. একটি বিকল্প বিবেচনা করতে হবে, বিশেষত যদি আপনি প্রশাসকের কম্পিউটারগুলি পরিচালনা করেন বা তারা প্রযুক্তিগতভাবে দক্ষ হয় তবে ক্লায়েন্ট প্রমাণীকরণের জন্য এসএসএল শংসাপত্রের ভিত্তিতে কিছু ব্যবহার করা। আরএসএ কীফবস এবং হোয়াট নোটটি অতিরিক্ত সুরক্ষার জন্যও ব্যবহার করা যায়।
  2. আপনি যদি কুকিগুলি মোটেও ব্যবহার করছেন - সম্ভবত কোনও প্রমাণীকরণ / সেশন টোকেনের জন্য - আপনি সম্ভবত নিশ্চিত করতে চান যে কুকিগুলি কেবল প্রশাসক পৃষ্ঠাগুলিতে প্রেরণ করা হয়েছে। এটি কুকিগুলি চুরি করে আপনার স্তরে 1/2 আপোস বা এক্সএসএস দ্বারা ঝুঁকি হ্রাস করতে সহায়তা করে। এডমিন অংশটি অন্য কোনও হোস্টনাম বা ডোমেনে থাকার পাশাপাশি কুকির সাথে সুরক্ষিত পতাকাটি স্থাপন করে সহজেই করা যায়।
  3. আইপি দ্বারা সীমাবদ্ধতা এছাড়াও স্মার্ট হতে পারে, এবং আপনার যদি ইন্টারনেট জুড়ে ব্যবহারকারী থাকে তবে আপনি এখনও এটি করতে পারেন, যদি কোনও বিশ্বস্ত ভিপিএন থাকে যাতে তারা যোগদান করতে পারে।
ড্যানিয়েল পাপাসিয়ান
সূত্র
1

আমরা Windows Authenticationঅ্যাডমিন অ্যাক্সেসের জন্য ব্যবহার করি । সাধারণ শেষ ব্যবহারকারীদের ক্ষেত্রে প্রযোজ্য যা থেকে প্রমাণীকরণ পৃথক করে রাখা এডমিন অঞ্চলগুলি রক্ষার এটি সবচেয়ে ব্যবহারিক উপায়। সিস্টেম অ্যাডমিন প্রশাসক ব্যবহারকারী অ্যাক্সেস শংসাপত্রগুলি পরিচালনা করে এবং ডোমেন ব্যবহারকারী অ্যাকাউন্টে পাসওয়ার্ড নীতি প্রয়োগ করে।

এই. __Curious_geek
সূত্র
-1

কঠোর উপায় হ'ল ডাটাবেস, সার্ভার এবং সমস্ত সহ দুটি সম্পূর্ণ ভিন্ন "খামার" থাকা এবং ডেটা এক ফার্ম থেকে অন্য ফার্মে স্থানান্তর করা। বেশিরভাগ আধুনিক, বৃহত আকারের সিস্টেমগুলি এই পদ্ধতির ব্যবহার করে (ভিগনেট, শেয়ারপয়েন্ট ইত্যাদি)। এটি সাধারণত বিভিন্ন পর্যায়ে "সম্পাদনার মঞ্চ" -> "প্রাকদর্শন পর্যায়" -> "বিতরণ পর্যায়ে" হিসাবে বিবেচিত হয়। এই পদ্ধতিটি আপনাকে কোড (dev-> qa-> প্রোড) এর সাথে একইভাবে সামগ্রী / কনফিগারেশনকে চিকিত্সা করতে দেয়।

আপনি যদি কম ভৌতিক হয়ে থাকেন তবে আপনার কাছে একটি একক ডাটাবেস থাকতে পারে তবে কেবলমাত্র "সম্পাদনা" সার্ভারগুলিতে আপনার প্রশাসক বিভাগ উপলব্ধ। আমি বলতে চাইছি কেবল সম্পাদনা স্ক্রিপ্ট / ফাইলগুলি সম্পাদনা সার্ভারে রেখে দেওয়া হয়েছে।

স্বাভাবিকভাবেই সম্পাদনার পর্যায়ে কেবল স্থানীয় ইন্ট্রানেট এবং / অথবা কোনও ভিপিএন ব্যবহার করা উচিত।

এটি কিছুটা ওভারকিল মনে হতে পারে এবং ব্যবহারের সমস্ত ক্ষেত্রে এটি সহজ সমাধান নাও হতে পারে তবে এটি অবশ্যই কাজগুলি করার সবচেয়ে শক্তিশালী উপায়।

মনে রাখবেন যে "শক্তিশালী অ্যাডমিন পাসওয়ার্ড রয়েছে" এর মতো জিনিসগুলি দুর্দান্ত তবে তবুও আপনার প্রশাসককে সব ধরণের স্মার্ট আক্রমণগুলির জন্য উন্মুক্ত রেখে দেয়।

নীড় লেভি
সূত্র
আমি মনে করি এটি কেবলমাত্র সিএমএস / প্রকাশের পরিস্থিতিতে কেবল ডেটা প্রক্রিয়াজাতকরণের পরিবর্তে সামগ্রীকে চাপ দিচ্ছে কেবলমাত্র কার্যকর / ব্যবহারিক হবে।
আপট্রিচ
হতে পারে, তবে আমি জানি (এবং দেখেছি) এমন পরিস্থিতি যেখানে প্রসেসিং এবং ব্যবহারকারীর ইনপুটগুলির জন্যও এটি করা হয়। পৃথক সম্পাদনা সার্ভার সহ একটি একক খামারের জন্য এটি কোনও ব্রেইনার নয়। একাধিক খামারগুলির জন্য আপনি যা করেন তা সাইট থেকে কোনও ইনপুট থাকে (ডিবি বা অন্যথায়) এবং বাহ্যিক পদ্ধতি ব্যবহার করে প্রক্রিয়াজাত করা হয় এবং "সম্পাদনা" সার্ভার / ডিবিতে অনুলিপি করা হয়। এটি আপনার সিস্টেমে কী ঘটে তার উপর আপনাকে আরও নিয়ন্ত্রণ দেয়। এটি বাস্তবায়নের ক্ষেত্রে জটিল।
নীড় লেভি
-2

আপনি কোন ধরণের ডেটা রক্ষা করতে চান (আইনি প্রয়োজনীয়তা এবং এই জাতীয়) এর উপর এটি অনেকটাই নির্ভর করে।

  • প্রচুর পরামর্শ প্রমাণীকরণ সম্পর্কে .. আমার মনে হয় আপনার ওপেনআইডি / ফেসবুক প্রমাণীকরণটি লগইন হিসাবে ব্যবহার করা উচিত। (তারা সম্ভবত প্রমাণীকরণ সুরক্ষায় আরও সংস্থান ব্যয় করবে)

  • ডাটাবেসে মান আপডেট করার পাশাপাশি পরিবর্তনগুলি সংরক্ষণ করুন। এইভাবে আপনি ব্যবহারকারীর এক্স থেকে বা তারিখ এক্স এবং ওয়াইয়ের মধ্যে পরিবর্তন আনতে পারেন।

কার্ল বার্গকুইস্ট
সূত্র
4
কোনও ওয়েব সাইটের অ্যাডমিন বিভাগের জন্য ফেসবুক প্রমাণীকরণ ... আপনি কি সত্যিই এটি একটি ভাল ধারণা বলে মনে করেন? সাধারণ ব্যবহারকারীদের জন্য, হ্যাঁ ... তবে প্রশাসক বিভাগের জন্য ? আমার কাছে কিছুটা বিপদজনক মনে হচ্ছে ...
রিচার্ড জে পি লে গুয়েন
আমি নিশ্চিত নই. তবে আমি মনে করি এই সাইটগুলি কেবল ওপেনিড প্রমাণীকরণ চালায়। এবং আমি মনে করি না ফেসবুক প্রমাণীকরণ এবং ওপেনিডের মধ্যে কোনও বড় (তত্ত্বের) পার্থক্য রয়েছে। তবে আমি লাইসেন্স সংক্রান্ত কোনও চুক্তি বা এগুলি পড়িনি।
কার্ল বার্গকুইস্ট
4
খুব খারাপ ধারণা অ্যাডমিন প্রমাণীকরণের জন্য ওপেনিড, বেশিরভাগ সময় রোলব্যাক অসম্ভব এবং খারাপ লোকটি আপনার সিস্টেমে সমস্ত প্রস্তুত ... কী রোলব্যাক?
এরিস্টস
আপনি কেন এটি খারাপ মনে করেন তা নির্দ্বিধায় নির্দ্বিধায়। ঠিক আছে যদি অ্যাডমিন হিসাবে লগ ইন করা আপনাকে ডিবিতে সম্পূর্ণ অ্যাক্সেস দেয় এবং ব্যাকআপ দেয় তবে নিশ্চিত যে এটি রোলব্যাক করা শক্ত, তবে সেক্ষেত্রে আপনি সমস্ত প্রস্তুত হারিয়েছেন। আমার পরামর্শগুলি cmsisch সাইটের জন্য ছিল।
কার্ল বার্গকুইস্ট
-3

আমি এডমিন পাসওয়ার্ডের স্টোরেজ / বৈধতার কথা উল্লেখ করে কাউকে লক্ষ্য করি না। দয়া করে দয়া করে পিডব্লিউটিকে সরল পাঠ্যে সংরক্ষণ করবেন না, এবং সম্ভবত এমন কোনও কিছু নয় যা বিপরীত হতে পারে - সল্ট এমডি 5 হ্যাশের মতো কিছু ব্যবহার করুন যাতে খুব কমপক্ষে কেউ যদি স্ট্রাকড "পাসওয়ার্ড" পুনরুদ্ধার করতে পারে তবে তাদের কাছে নেই মারাত্মকভাবে কার্যকর কিছু, যদি না সেগুলিতে আপনার লবণের পরিকল্পনাও থাকে।

ওয়েইন ওয়ার্নার
সূত্র
4
এমডি 5 এর জন্য -1। আপনি md5ing সহ অন্যান্য সমস্যার বাইরেও পাসওয়ার্ডগুলির জন্য দ্রুত হ্যাশ চান না। bcrypt একটি ভাল বিকল্প হবে।
Kzqai
-4

একটি পাসওয়ার্ড ক্ষেত্র এবং একটি সুরক্ষা প্রশ্ন যুক্ত করুন যা প্রশাসক জানতে পারবেন, যেমন আপনার প্রথম বান্ধবীর নাম কী ছিল বা অ্যাডমিন প্যানেলটি দেখার সময় প্রশ্নগুলি এলোমেলো করে দিন।

সম্ভবত আপনি প্রশাসনের বিভাগটি সর্বদা একটি বড় ডিরেক্টরিতে রেখে দিতে পারেন, যেমন

http://domain.com/sub/sub/sub/sub/sub/index.php

তবে এটি আসলে ভাল না।

সম্ভবত আপনি হোম পৃষ্ঠায় একটি প্রশ্নের স্ট্রিং অন্তর্ভুক্ত করতে পারে, যেমন:

http://domain.com/index.php?display=true

এটি হয়ে গেলে, ব্যবহারকারীর নাম এবং পাসওয়ার্ড ক্ষেত্র উপস্থিত হবে।

ম্যাকম্যাক
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.