服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 结合IntrAnet和HTTPS,它有用吗?
Intereting Posts
任务计划程序无法成功执行.vbs脚本 是否可以将IP地址指向域名? Apache2不加载模块mod_mono – CentOS 6 如何停止spec文件中的服务 在VMware ESXi 4上设置链接聚合和巨型帧 nginx客户端证书位置块 如何在较大的大学networking中configuration一个小型计算机networking? 获取新的服务器 为每个SSID定制Windows8 dot1x / PEAP WiFi用户名 Heroku:www子域名返回“没有这样的应用程序” Hyper-V实例的电源设置是否重要? 日志之间的超链接 在Apache日志文件中,为什么我看到\ xef \ xbf \? 如何在vSwitch上configuration镜像/跨接端口? 我如何使用Puppet / Augeas来pipe理exim dc_local_interfacesconfiguration?

结合IntrAnet和HTTPS,它有用吗?

我有一个Web服务器,只支持公司的networking,而不是外部的networking。 将有大约100个不同的用户连接到该服务器上的Web应用程序,他们都有自己的login帐户。 目前,Web应用程序不支持HTTPS,因为一些devise缺陷,需要时间来解决。 所以我有两个select:1)延迟安装应用程序,直到它支持HTTPS。 2)只安装东西,因为它没有巨大的风险,因为它只在内部networking上运行。 及时,它可以修补和移动到一个安全的服务器。

由Web应用程序pipe理的数据具有隐私元素,因为它主要是客户信息。 (但没有信用卡或银行账户数据。)但它仍被视为敏感信息。 但不够敏感,不惜一切代价进行辩护。 虽然会有一两个用户对电脑黑客有一些技术知识,但大多数用户不是信息系统专家,只是普通用户。 (所有用户都使用普通的用户帐号,而不是pipe理员帐号。用户安装附加软件几乎是不可能的。)

那么,当我在一个安全性较低的连接上内部安装这个应用程序时,会有很大的风险吗?

附加组件 :我们不支持WLAN。 访问者可以插入networking,但仍然无法访问Intranet环境。 我不是这个主题的专家,但据我所知,这台机器在访问Intranet环境之前需要成为我们域的一部分。 (这已经过testing!)由于用户不能安装额外的软件,所以他们很难安装额外的黑客工具。 每个系统都有一个很好的病毒扫描程序,并保持最新状态。 此外,所有的传出互联网连接将不得不通过一个额外的代理服务器,进行一些额外的检查。 用户知道他们对外部网站的互联网行为是受到监控的。 尽pipe任何计算机都可能被黑客入侵,但系统并不足以进入恐慌模式,并确保一切安全。 最坏的情况是黑客会删除所有数据,这意味着我们必须恢复备份。 或者,他会得到一个有关客户的蜗牛邮件地址,他们的工作和一些财务信息但没有提及银行帐户或其他帐户信息的列表。

加载项2:我只是因为常规pipe理员此时不可用而问这个问题。 (由于荷兰的恶劣天气,他发生了一起事故,这并不重要,但他需要一段时间才能恢复。)这个应用程序是新的,安装后没有数据。 有人告诉我说,可能需要2个月的时间才能恢复正常,继续工作,所以决定主要是在没有他的支持的情况下安装它,这样它就可以被使用,或者等到他返回,这可能会延迟只要他离开,或者直到我们find并培训出合格的替代人员。

我们应该怎么知道是否有很大的风险?

我们不知道您的边界路由器有多安全,我们不知道是否有人能够将笔记本电脑插入中央交换机,但我们不知道是否有可用于嗅探的开放WLAN密码,我们不知道那些“具有一定技术知识的两个用户”是否有动机造成伤害 – 总之,我们根本无从下手

一些一般的build议:你总是不得不假定你的服务和攻击者之间没有任何关系。 如果涉及到密码,如果涉及到任何types的敏感信息,所有连接都应该encryption。

即使它本身不支持encryption,也有办法保护HTTP服务。 一种可能性是把它放在一个反向代理的后面,前面谈到HTTPS,后面是HTTP(当然必须在同一台机器上)。

另一种可能是使用某种VPN甚至SSH来通过安全通道隧道传输更高级别的协议(在这种情况下是HTTP)。

您可以使用反向代理。 代理将有一个客户端连接的SSL证书,并将连接到您的应用程序与一个非encryption的HTTP连接。

你还没有说过你的操作系统。 如果这是在Windows域环境域中,并且服务器隔离将encryption通信并阻止非域计算机看到系统。 有关详情,请参阅此解决scheme加速器 在非Windows环境中,可以通过IPsec设置类似的function,但实现起来更加复杂。

对于内部networking,如果您不想支付通配符证书(或专用服务器证书),则只需创build一个自签名证书即可。 既然是你的公司,用户接受证书不应该太过分了。 取决于你的networking如何工作(和你的pipe理员友好),你甚至可以把它推送给用户,这样他们就不会被打扰。

如果您正在处理任何types的敏感信息,则应该通过HTTPS进行处理。

这是一个平衡

  • 如果有人获取其他人的凭据会怎么样?
  • 如果数据丢失会发生什么?

无论是在资金,公司信誉,个人责任等方面。你可以通过添加一个日志系统来监视谁做了什么,甚至是IP地址。 还监视成功的login尝试,不仅被拒绝。

是的,这可能很麻烦,但会提供一些保护,以防止一些威胁。 这不是一个100%安全的解决scheme,但会让你足够的时间来掌握系统,并了解它是如何使用的。 毕竟,如果用户需要提供一个包含unicode中文字符和标点符号的16个字符长的密码,他们可能会把它保存在一个贴子上。 或者在浏览器caching中。 或者在桌面上的PASSWORD.TXT文件上。

所以,损失和收益,不要忘记通知/告诉你的上司。 得到他们的书面批准,只是为了避免责备。

由于您的网站提供的敏感数据,应该encryption。 什么types的devise缺陷? https可以实现redirect规则来暂时克服devise缺陷吗?