一名非技术性,安全偏执的员工坚称,确保我们网站安全的有效方法是将应用程序分为三部分;前端,API和后台管理区域。通过使用不起眼的域名保护网站安全
API和管理系统都位于只是随机字符集的域名上。
应用程序持有敏感数据,但是,所有的应用程序都在同一台服务器上。
我面临的问题是,在处于此状态时调试或添加应用程序的功能使工作变得非常困难,因为它不清楚应用程序的哪一部分执行了什么操作。 (没有文档,以前的开发者已经离开公司。)
他坚持说未来的项目会遵循相同的套件,它们有自己独立的API和管理区域,我认为这对于相对简单的应用程序来说是不必要的。
第二个问题是我知道通过默默无闻的安全性并不一定是安全的,我没有看到使用复杂的域来承载部分或全部网站的重点。
所以我的问题是这样的:
1)是使用API这样准备进行任何安全好处?我们是否有其他方法可以确保应用程序的安全,并且数据是安全的,从而不会影响开发速度。
2)是否使用必要的隐蔽域来保持应用程序的安全?再次,有没有其他方法可以同样有效,对于未来的开发人员来说看起来并不奇怪?
3)管理系统使用用户名和密码进行保护。将管理系统安装在website.com/admin而不是randomcharacters.com上一样安全吗?
雇员:我如何访问管理区域? ... HiPPO:你得到了http://fd7fsdfcxc9sffgdfg9b0kjh9rewfr9sas9vhfghg.com得到了......哦,你不允许将它同步到一个不安全的地方,它不允许加入书签; p –