Как сделать сайт доступным только для определённых лиц?

Question

[l4m3r]

Внутри компании используется написанная мной маленькая crm-система (сотрудники / клиенты / заказы). Доступ: логин-пароль. Сначала это всё крутилось на веб-сервере локальной сети, но теперь хочу выложить на хостинг. Директору понадобился доступ из дома и не только. Да и сотрудникам не повредит.

Какие меры защиты следует принять, чтобы максимально ограничить доступ левым людям/ботам? Даже на страницу логина.

Как я понял: https, сложный пароль всем, disallow в robots.txt, какое-нибудь ограничение по региону/городу из IP, капча. Этого будет достаточно?

Безопасно ли оставлять такой удобный url типа crm.companyname.ru или обязательно должно быть что-то в духе "77.77.77.77:8111"? Слышал, как-то с сертификатами доступа (без пароля) можно ещё похимичить, но не знаю как гуглить даже.

Comments

[Сергей Сергей]

можно сделать предварительную регистрацию устройств с запоминанием какой-нибудь куки.

[l4m3r]

Сергей Сергей, получается пока устройство не одобришь, не знайдет? Интересный вариант. Но боюсь ситуации "Я зашёл в ноута жены -- и сайт не открывается!1"

[Сергей Сергей]

Можно регистрировать простым способом — при первом посещении выводить форму с одним текстовым полем с одним правильным словом (строкой), если строка подходит, то куки пишем, без нужной куки только эту однострочную форму показываем.

Answer 1

[shai_hulud]

Поставьте VPN на сервер, соедините с корпоративной сетью. Директору на смартфоне сделайте профиль VPN для подключения к сети компании.

Answer 2

[Алексей Ярков]

Авторизация с помощью сертификата ssl на nginx + L...

Comments

[l4m3r]

Не объяснили, какой подход лучше: этот с сертификатом или с паролем?

[Dimonchik]

l4m3r, попробуйте подобрать сертификат

ну типа пароль в дофигща символов (256 кажется)

[l4m3r]

dimonchik2013, понял. Подскажите, а с мобилой не будет работать? Такой сертификат можно установить на телефон?

[Dimonchik]

гемор присутствует

вроде Андроид 9 нормально ставит , айфоны тоже

Answer 3

[Александр Аксентьев]

какое-нибудь ограничение по региону/городу из IP

А потом директору захочется из отпуска посмотреть или из командировки или с телефона через мобильный интернет))

Как я понял: https, сложный пароль всем, disallow в robots.txt, какое-нибудь ограничение по региону/городу из IP, капча. Этого будет достаточно?

Половина из списка вообще не про защиту от "левых" людей, а про защиту от спама.

Из всего этого вам нужны только нормальные пароли и всё.
Ну и чтоб все закрыто было под авторизацию точно.
Всё остальное никак не защитит вас.

От того что кто-то увидит вашу форму входа в CRM ни жарко ни холодно.

Comments

[l4m3r]

Из всего этого вам нужны только нормальные пароли и всё.
Ну и чтоб все закрыто было под авторизацию точно.
Всё остальное никак не защитит вас.

А как же перебор паролей ботом, например?

[Александр Аксентьев]

l4m3r, с нормальными паролями на перебор пофиг, с нормальным кодом с точки зрения нагрузки тоже пофиг.
Так что вообще никак мешать не должно.

Делать каптчу во внутренней системе бессмысленно и беспощадно по отношению к пользователям.

Если ссылку на CRM нигде не опубликуют, то большая вероятность того что на неё никто никогда из ботов вообще не попадёт, т.к. она никому неизвестна изначально.
А если запретить индексировать, то вообще никогда не сможет засветиться в поиске.

[alex-1917]

Александр Аксентьев, вообще-то боты в 2019 самым первым сканируют robots.txt !!!
это какая-то вкусовщина, мягко выражаясь, а если по чесноку - признак рукожопства с примесью ютубо-модно-стильно-молодежно.

не в тему, но все же - пример для WP - многие прикольные вещи можно найти, сначала просмотрев роботс, а затем легко и просто зайдя в папку wp-content/uploads, которая ничем не закрыта (характерно для модных-стильных-молодежных облачных хостингов)

[Александр Аксентьев]

alex-1917,

вообще-то боты в 2019 самым первым сканируют robots.txt !!!

к чему эта реплика, вообще не понял, да и про рукожопство вообще не в тему.

Если ссылки нигде вообще в мире нет, то и боты на поддомен не попадут.
Чтобы дополнительно закрыть возможность спалить даже случайно поддомен можно через роботс закрыть доступ поисковикам(!), без поисковиков боты и не выйдут никогда на поддомен.
А то что роботс не защищает от спам-ботов и ahrefsов и ежу понятно.

Еще раз на пальцах - задача не спалить поддомен на публику.
Это делается с помощью роботс + не ставить говносчетчики метрики и т.п. + не постить ссылку никуда в интернет.
Всё, ваш поддомен никто не может узнать кроме как перебором случайным.
Так работает DNS, нельзя просто так взять и узнать все поддомены и днс записи домена, только по конкретному запросу на конкретное имя поддомена.

А совсем тупые боты сканируют основной домен на наличие всего чего угодно.

[zoozag]

Александр Аксентьев,

роботс не защищает от спам-ботов

От поисковиков он тоже так себе защищает. Гугл может индекскировать страницы с Disallow. Надо плюсом еще noindex использовать.

Answer 4

[ThunderCat]

Вообще - логин пароль достаточно, как вариант можно добавить хэш-ключи, для урлов, что-то типа crm.companyname.ru?hash=sd3flkw45df-03495dd56 и без правильного хеша не авторизировать.

Comments

[l4m3r]

А как эти хеши генерировать и выдавать?

[ThunderCat]

l4m3r, да не суть, хоть при регистрации, хоть по мере необходимости, мд5 от логина и пароля например с солью.