¿Cómo puedo saber de forma confiable / segura si el usuario que visita nuestro sitio web proviene del firewall corporativo? ¿Es suficiente verificar la dirección IP?
Creo que una mayor preocupación es "¿puedes escribir este código de tal manera que nadie pueda manipularlo?" Lo dudo mucho, sin embargo, hay cosas que puedes hacer.
Editar Ok, la respuesta antigua probablemente estaba siendo un poco paranoica de la seguridad aquí. Introducir el código de depuración en su aplicación en vivo es un riesgo para la seguridad, ya que es otro nivel de autenticación que necesita para enfrentar el escrutinio. Sin embargo, en ciertos escenarios, eso podría ser aceptable.
En el caso de una tienda en línea, podría decir que la mejor opción son los certificados SSL del lado del cliente firmados por un certificado de confianza que el servidor conoce, posiblemente combinado con restricciones de direcciones IP. Mantener una lista de revocaciones Razones para esto:
- Bastante difícil de falsificar. El certificado debe ser firmado y autorizado por usted primero e instalado en el navegador del cliente. Por lo tanto, la seguridad se convierte en control de acceso a los certificados autorizados. Puede invalidarlos del lado del servidor manteniendo una lista de revocaciones / lista de confianza de "Mostraré la información del perfil"
- De todos modos, está utilizando SSL en el caso más lento (usuario registrado), por lo que puede asumir que los tiempos de tráfico basados en SSL son límites superiores (HTTP simple será más rápido, pero solo marginalmente).
- Confíe en las implementaciones criptográficas existentes en lugar de intentar implementar algo nuevo que podría romperse criptográficamente hablando.
- Podrías relajar los requisitos de IP hasta cierto punto; los desarrolladores pueden probar desde casa también.