¿Es razonable mantener el panel de control en un subdominio o dominio separado?

Navega tus respuestas
3

Ya que soy bastante principiante en cuanto a la información y la seguridad de los sitios web, me gustaría preguntarle a las personas más experimentadas acerca de una idea, que simplemente se me pasó por la cabeza (¡probablemente no sea mi descubrimiento original !:]).

Con la introducción de tantos nuevos dominios de nivel superior, ¿aumentaría la seguridad de mi sitio web si moviera el "panel de control" a un subdominio separado o incluso a un dominio de nivel superior? Por ejemplo:

  • interfaz de todos los usuarios: enlace ,
  • backend solo para administradores: enlace .

Los usuarios están usando solo el primer enlace. Incluso pueden no estar conscientes del hecho de que el otro dominio existe, ya que se puede asegurar aún más en el lado del servidor, para impedir todo el tráfico de la red de la empresa externa. Además, no tiene acceso ni siquiera a una parte de las herramientas de administración. Si inicia sesión en el primer dominio, solo tiene acceso al panel de control de su cuenta. Pero, nunca a nada relacionado con la gestión completa del sitio web.

Por razones obvias, ambos sitios web usarían la misma base de datos (no tomo la replicación como una opción aquí - ver el final del texto) y es probable que ambos dominios de nivel superior estén estacionados en el mismo servidor / alojamiento ( Proyecto de bajo costo (ver el final del texto), pero con una separación completa entre sí.

Esto se propone como contrario a los sitios web "estándar", con el sistema RBAC implementado, donde, si el usuario de nivel de administrador inicia sesión, él o ella obtiene acceso no solo a su panel de control de cuenta, sino también a todo el sitio web. herramientas de gestión, juguetes del sistema, etc., todas basadas en la determinación de sus derechos de acceso.

¿La implementación de la separación de frontend y backend aumentaría la seguridad del sitio web de una manera visible o razonable? ¿O sería solo una pérdida de tiempo, dinero y recursos?

Una de mis universidades afirma que, en la actualidad, a los intrusos no les importa algo como entrar en la cuenta o el panel de control o obtener la contraseña de alguien. Hoy en día, las intrusiones se basan en ataques DDoS y en servidores de "asesinato" físicos. Si eso es cierto, entonces mi solución propuesta no trae nada. Un ataque efectivo dejaría todo el servidor, tanto en el frontend como en el backend, sin importar cuántos dominios use.

BTW: estamos hablando de un sitio web de clase baja, con hasta 10k-100k usuarios, un proyecto propio, que resultó ser un poco más interesante. Alojado en un servidor. Sin hosting multiservidor, sin replicación de la base de datos, sin mitigación de ataques DDoS, etc. No estamos hablando de otro Facebook o este servicio de clase, ya que en este caso lo más probable es que tengan soluciones mucho mejores que múltiples dominios.

    
pregunta trejder 10.04.2014 - 12:52
fuente

2 respuestas

4
  

¿La implementación de la separación de frontend y backend aumentaría la seguridad del sitio web de una manera visible o razonable?

Sí. Dividir las interfaces en dos nombres de host, o incluso dos números de puerto o protocolos (HTTP / HTTPS), le daría dos orígenes de JavaScript diferentes. Esto evita que los ataques de scripts entre sitios (XSS) a los que se pueda acceder en un sitio se infecten automáticamente en el otro sitio.

Por ejemplo, si tenía una vulnerabilidad de inyección de HTML en su sitio público, podría incluir algún JavaScript que cargó automáticamente la interfaz de administración y simuló que el usuario presionara el botón rojo grande de destruir el sitio (o cualquier otra característica sensible es ahí). Si un administrador exploró la página pública comprometida mientras tenía una sesión activa en el sitio de administración, el sitio se desplomará.

Con dos orígenes diferentes, el JavaScript inyectado en un origen no puede interactuar con los controles en el otro, por lo que el daño se limita a lo que pueda hacerse en el sitio público.

(Como un problema adicional, tener sesiones de inicio de sesión separadas para cada interfaz también puede mitigar las vulnerabilidades de falsificación de solicitudes de XSS y entre sitios, ya que es menos probable que el administrador esté conectado al sitio de administración en el momento en que navega al público Es posible tener sesiones de inicio de sesión separadas o combinadas con o sin nombres de host diferentes, pero por lo general, los nombres de host separados le darían inicios de sesión separados a menos que haya trabajado específicamente para eso.)

Por lo general, separar las interfaces de audiencias internas por nombre de host es una mitigación útil, pero, por supuesto, las secuencias de comandos entre sitios son solo una faceta menor de la seguridad de la aplicación web, y no debería imaginar que le brinda ninguna protección contra la otra aplicación. problemas de seguridad de la infraestructura como DDoS.

(Y sí, el comentario sobre la seguridad del control de acceso que es irrelevante debido a la DDoS es completamente absurdo. Son ataques casi no relacionados, realizados por diferentes personas por diferentes motivos. ¿Cuánto desea concentrarse en contrarrestar cada uno de ellos? el modelo de amenaza para su aplicación, pero ambos tipos de ataques son comunes y la existencia de uno no es una excusa para ignorar al otro. Por lo general, un DoS solo se considera un ataque menor que la intrusión o la pérdida de datos, pero nuevamente, eso dependerá de la modelo de amenaza: ¿un atacante tiene algo que ganar al hacer que su servicio no esté disponible? ¿Es lo suficientemente crítico como para causar serios inconvenientes cuando no funciona?)

    
respondido por el bobince 10.04.2014 - 20:45
fuente
0

Poner la interfaz de administración en un dominio diferente es pura seguridad por oscuridad. No importa qué tan oscura sea la URL, siempre que se pueda acceder a ella desde la Internet pública, debe tener en cuenta la posibilidad de que algún día se convierta en conocimiento público.

Pero incluso cuando asume que SbO podría ser una ventaja para usted, el registro de otro dominio solo para su consola de administración podría ser contraproducente para la máxima oscuridad. Tenga en cuenta que los registros de dominio son públicos. Alguien podría encontrar accidentalmente que el dominio example.management está registrado y que el propietario del dominio es usted, lo que podría atraer su atención. Pero una interfaz de administrador colocada en una URL oscura en el propio dominio no deja ningún registro público de su existencia en cualquier lugar (siempre que el servidor esté configurado correctamente).

Conclusión: no intente ocultar su interfaz de administrador. Deberías invertir esa energía en desarrollarla de forma segura para que, incluso cuando todo el mundo intente acceder a ella, no tenga éxito.

  

Uno de mis colegios afirma que, en la actualidad, a los intrusos no les importa   algo así como romper en cuenta o panel de control o ganar   la contraseña de alguien Hoy en día las intrusiones se basan en ataques DDoS y   Físicamente "matando" al servidor.

Eso es incorrecto. Hubo muchos robos en el servicio de alto perfil con la intención de obtener las direcciones de correo electrónico y las contraseñas de los usuarios últimamente. Solo se puede adivinar cuántas violaciones de este tipo ocurren a diario, pero nunca se detectan ni se informan al público. Sin embargo, una interfaz de administración vulnerable es solo uno de los muchos posibles vectores de ataque que pueden conducir a una violación de datos. Para obtener información sobre los errores más comunes que conducen a las vulnerabilidades del sitio web, consulte la lista de los diez principales de OWASP .

Un ataque de denegación de servicio (DoS) es una forma de causar problemas al propietario de un sitio web, pero no "mata físicamente" a un servidor. Solo hace que el servidor sea difícil de alcanzar mientras ocurre el ataque, pero no causa daños duraderos y, lo más importante, no compromete ningún dato en su servidor. Se realizan con frecuencia porque casi no requieren conocimientos técnicos, pero están lejos de ser una amenaza seria para la seguridad.

    
respondido por el Philipp 10.04.2014 - 13:06
fuente

Lea otras preguntas en las etiquetas

¿Los clientes que bloquean todas las conexiones entrantes son seguros? ¿Qué se puede hacer para evitar la interrupción del hardware en caso de que se produzca una llamarada solar?