Как сделать сайт доступным только для определённых лиц?
Внутри компании используется написанная мной маленькая crm-система (сотрудники / клиенты / заказы). Доступ: логин-пароль. Сначала это всё крутилось на веб-сервере локальной сети, но теперь хочу выложить на хостинг. Директору понадобился доступ из дома и не только. Да и сотрудникам не повредит.
Какие меры защиты следует принять, чтобы максимально ограничить доступ левым людям/ботам? Даже на страницу логина.
Как я понял: https, сложный пароль всем, disallow в robots.txt, какое-нибудь ограничение по региону/городу из IP, капча. Этого будет достаточно?
Безопасно ли оставлять такой удобный url типа crm.companyname.ru или обязательно должно быть что-то в духе "77.77.77.77:8111"? Слышал, как-то с сертификатами доступа (без пароля) можно ещё похимичить, но не знаю как гуглить даже.
Сергей Сергей, получается пока устройство не одобришь, не знайдет? Интересный вариант. Но боюсь ситуации "Я зашёл в ноута жены -- и сайт не открывается!1"
Можно регистрировать простым способом — при первом посещении выводить форму с одним текстовым полем с одним правильным словом (строкой), если строка подходит, то куки пишем, без нужной куки только эту однострочную форму показываем.
Вообще - логин пароль достаточно, как вариант можно добавить хэш-ключи, для урлов, что-то типа crm.companyname.ru?hash=sd3flkw45df-03495dd56 и без правильного хеша не авторизировать.
