¿Panel de inicio de sesión separado para administradores?

Navega tus respuestas
2

Tengo una disputa con mi padre sobre lo siguiente ...

Quiero crear un sitio web (con la base de datos MySql) y usar la página raíz / índice para TANTO la entrada de inicio de sesión para los visitantes normales Y el inicio de sesión para administradores.

Mi padre no está de acuerdo porque dijo lo siguiente ...

NUNCA debe usar la misma página tanto para los visitantes como para los administradores que (repito sus palabras) "desea mantener en secreto la puerta de los administradores, lo cual no es posible si usa la misma página para ambas".

Prefiere colocar la página de inicio de sesión del administrador en un directorio separado que también le permite protegerlo de la interfaz de usuario normal (utilizando las capacidades de autenticación del servidor HTTP), de modo que el usuario debe autenticarse primero en el servidor HTTP. y luego, en segundo lugar, en el panel de inicio de sesión para el usuario administrador. También dice que si le das a este subdirectorio un nombre poco conocido como u7Vf% en lugar de admin - con la lista de directorios desactivada - esto hace que admin-door sea casi invisible para casi todos. Lo que puede mejorar la seguridad del sistema.

Sin embargo, digo que la seguridad a través de la oscuridad no es una mejor manera de garantizar la integridad del sitio web. Preferiría un panel de inicio de sesión y centrar toda mi atención en asegurar eso.

    
pregunta Jori 27.06.2014 - 12:03
fuente

3 respuestas

2

Si protege la página de inicio de sesión con autenticación HTTP o la oculta detrás de una URL "secreta", realmente todo lo que está haciendo es agregar contraseñas adicionales. En lugar de una contraseña de administrador, existen efectivamente tres: la parte "secreta" de la URL, la contraseña de autenticación HTTP y, por último, la propia contraseña de administrador.

Si bien esto puede sonar como una buena idea (¿más es mejor?), no tiene sentido. Administrar tres contraseñas diferentes es un gran problema y tiene pocos beneficios con una sola contraseña buena . De hecho, si un procedimiento de seguridad es muy molesto, las personas tienden a tomar atajos. Ninguna persona sensata está dispuesta a escribir tres cadenas muy largas en cada inicio de sesión, por lo que probablemente terminará haciendo que cada contraseña sea relativamente débil, guárdelas en el navegador o lo que sea. En el peor de los casos, estarás menos seguro que antes.

Prefiero elegir una contraseña segura por cuenta y dejar de lado el cine. Si lo haces lo suficientemente fuerte, puedes dejar de preocuparte por los ataques de fuerza bruta.

Solo para aclarar: puede tener sentido separar el contenido del administrador del contenido del usuario estándar, pero no en el caso descrito anteriormente.

    
respondido por el Fleche 27.06.2014 - 19:17
fuente
0

Sugerencia: 

www.example.com -> visitors
admin.example.com with basic-auth -> admins

Lo dejo en tus manos para descubrir por qué exponer admin-backend-logins al público siempre es una mala idea (sugerencia: piensa en lo que sucede cuando es posible un exploit).

Por cierto, hay una buena explicación en este sitio sobre cuándo y por qué la seguridad a través de la oscuridad es una ruta válida para seguir y cuándo no.

    
respondido por el that guy from over there 27.06.2014 - 12:42
fuente
0

La mayoría de las aplicaciones web usan una sola página de inicio de sesión para manejar todos los inicios de sesión. Tener dos páginas de inicio de sesión implementadas de forma diferente simplemente duplica la superficie de ataque y brinda dos oportunidades para hacerlo mal.

¿Contra qué amenaza está protegiendo al separar las páginas de inicio de sesión? Hay mejores formas de protegerse contra las amenazas:

  • No tiene SQLi (siempre use un ORM o consultas parametrizadas)
  • El inicio de sesión con límite de velocidad intenta protegerse contra la fuerza bruta
  • Requiere que los administradores tengan contraseñas seguras
respondido por el David 27.06.2014 - 18:40
fuente

Lea otras preguntas en las etiquetas

¿Cómo detectar si un usuario ha iniciado sesión en un sitio web específico? Cómo proteger iKvM, IPMI, KvM Interfaces de 0day y otras vulnerabilidades