https로 웹 사이트를 보호하는 방법

https로 웹 사이트를 보호하는 방법

---

회사가 업무 데이터를 유지하기 위해 작은 웹앱을 만들어야하는데 ... 사내 만 사용 하겠지만 퍼블릭 도메인으로 호스팅하여 직원들이 다양한 위치에서 앱에 접속할 수 있도록 할 계획입니다. . (지금까지 내부적으로 만 호스팅되는 웹 앱을 구축했습니다.)

보안 연결 (https)을 사용해야하는지 아니면 양식 인증만으로 충분한 지 궁금합니다.

https라고 말하면 몇 가지 질문이 있습니다.

1. https 용 웹 사이트를 준비하려면 어떻게해야합니까? (코드 / 구성을 변경해야합니까?)
2. SSL과 https는 하나이며 동일합니다 ...
3. 면허를 받기 위해 누군가에게 신청해야합니까?
4. 내 모든 페이지를 보호해야합니까 아니면 로그인 페이지 만 보호해야합니까?

인터넷에서 답을 찾고 있었지만이 모든 사항을 알 수 없었습니다 ... 백서 나 기타 참고 자료도 도움이 될 것입니다 ...

더 많은 정보가 필요한 경우 언제든지 문의하십시오.

감사

• 라자

---

https 용 웹 사이트를 준비하려면 어떻게해야합니까? (코드 / 구성을 변경해야합니까?)

보안 코딩에 대한 모범 사례를 염두에 두어야합니다 (좋은 소개 : http://www.owasp.org/index.php/Secure_Coding_Principles ). 그렇지 않으면 SSL 인증서를 올바르게 설정하기 만하면됩니다.

SSL과 https가 하나이고 동일합니다 ..

네.

면허를 받기 위해 누군가에게 신청해야합니까?

인증 기관에서 SSL 인증서를 구입하거나 자체 서명 된 인증서를 사용할 수 있습니다. 구매할 수있는 제품은 연간 10 달러에서 수백 달러까지 가격이 매우 다양합니다. 예를 들어, 온라인 상점을 설정하는 경우 그 중 하나가 필요합니다. 자체 서명 된 인증서는 내부 응용 프로그램을위한 실행 가능한 옵션입니다. 그중 하나를 개발에 사용할 수도 있습니다. 다음은 IIS 용 자체 서명 된 인증서를 설정하는 방법에 대한 좋은 자습서입니다. 자체 서명 된 인증서를 사용하여 IIS 7.0에서 SSL 활성화

내 모든 페이지를 보호해야합니까 아니면 로그인 페이지 만 보호해야합니까 ..

초기 사용자 로그인뿐만 아니라 모든 것에 HTTPS를 사용하십시오. 오버 헤드가 너무 크지는 않을 것이며 사용자가 원격 호스팅 된 애플리케이션에서주고받는 데이터를 가로 채면 외부에서 읽을 수 없습니다. 이제 Gmail도 기본적으로 HTTPS를 사용합니다.

---

어떤 종류의 비즈니스 데이터 ? 영업 비밀이나 사람들이 보지 않기를 바라는 것들만 나오면 큰 문제가 아닐까요? 영업 비밀, 재무 정보, 고객 정보 및 일반적으로 기밀 인 항목에 대해 이야기하는 경우. 그런 다음 그 경로를 따라 가지 마십시오.

보안 연결 (https)을 사용해야하는지 아니면 양식 인증만으로 충분한 지 궁금합니다.

항상 보안 연결을 사용하십시오.

코드 / 구성을 변경해야합니까?

예. 그렇지 않을 수도 있습니다. 전문가가이 작업을 수행하도록 할 수 있습니다.

SSL과 https는 하나이며 동일합니다 ...

대부분 그렇습니다. 사람들은 일반적으로 그런 것들을 같은 것으로 언급합니다.

면허를 받기 위해 누군가에게 신청해야합니까?

인증 기관에서 서명 한 인증서를 원할 수 있습니다. 귀하 또는 귀하의 고객에게 약간의 비용이들 것입니다.

내 모든 페이지를 보호해야합니까 아니면 로그인 페이지 만 보호해야합니까?

전체적으로 https를 사용하십시오. 사이트가 내부 사용자를위한 것이라면 성능은 일반적으로 문제가되지 않습니다.

인터넷에서 답을 찾고 있었지만이 모든 사항을 알 수 없었습니다 ... 백서 나 기타 참고 자료도 도움이 될 것입니다 ...

몇 가지 지침을 보려면 여기에서 시작하십시오. http://www.owasp.org/index.php/Category:OWASP_Guide_Project

SSL은 인터넷에서 액세스 할 수있는 웹 사이트를 안전하게 만드는 아주 작은 부분입니다. 대부분의 해킹을 막지는 못합니다.

---

사이트 인증 및 SSL과 혼동되고 있다고 생각합니다.

사이트를 SSL로 가져와야하는 경우 웹 서버에 SSL 인증서를 설치해야합니다. 시만텍과 같은 곳에서 직접 인증서를 구입할 수 있습니다. 인증서에는 다른 것들과 함께 공개 / 개인 키 쌍이 포함됩니다.

소스 코드에서 아무것도 할 필요가 없으며 사이트에서 양식 인증 (또는 기타)을 계속 사용할 수 있습니다. 그저 웹 서버와 클라이언트간에 발생하는 모든 데이터 통신은 인증서를 사용하여 암호화되고 서명됩니다. 사람들은 보안 HTTP (https : //)를 사용하여 사이트에 액세스합니다.

자세한 내용은 여기를 참조하십시오-> http://en.wikipedia.org/wiki/Transport_Layer_Security

---

비즈니스 데이터의 경우 데이터가 비공개이면 보안 연결을 사용하고 그렇지 않으면 폼 인증으로 충분합니다.

보안 연결을 사용하기로 결정한 경우 웹 사이트 보안에 대한 경험이 없으며 개인적인 경험에서 발생한 일을 취소하는 것입니다. 어쨌든 내가 틀렸다면 언제든지 수정하십시오.

https 용 웹 사이트를 준비하려면 어떻게해야합니까? (코드 / 구성을 변경해야합니까?)

웹 사이트에 SSL (Secure Sockets Layer) 을 활성화하려면 인증서를 설정해야합니다. 코드 또는 구성은 변경되지 않습니다.

I have enabled SSL for an internal web-server, by using OpenSSL and ActivePerl from this online tutorial. If this is used for a larger audience (my audience was less than 10 people) and is in the public domain, I suggest seeking professional alternatives.

Is SSL and https one and the same...

Not exactly, but they go hand in hand! SSL ensures that data is encrypted and decrypted back and forth while you are viewing the website, https is the URI that is need to access the secure website. You will notice when you try to access http://secure.mydomain.com it displays an error message.

Do I need to apply with someone to get some license or something.

You would not need to obtain a license, but rather a certificate. You can look into companies that offer professional services with securing websites, such as VeriSign as an example.

Do I need to make all my pages secured or only the login page...

Once your certificate is enabled for mydomain.com every page that falls under *.mydomain.com will be secured.

---

4.Do I need to make all my pages secured or only the login page...

Just keep the login page under https

this will ensure there is no overhead when browsing other pages. the condition is you need to provide correct authentication settings in the web config. This is to ensure users who are not logged in will not be able to browse pages that would need authentication.

---

@balalakshmi mentioned about the correct authentication settings. Authentication is only half of the problem, the other half is authorization.

If you're using Forms Authentication and standard controls like <asp:Login> there are a couple of things you'll need to do to ensure that only your authenticated users can access secured pages.

In web.config, under the <system.web> section you'll need to disable anonymous access by default:

<authorization>
 <deny users="?" />
</authorization>

Any pages that will be accessed anonymously (such as the Login.aspx page itself) will need to have an override that re-allows anonymous access. This requires a <location> element and must be located at the <configuration> level (outside the <system.web> section), like this:

<!-- Anonymous files -->
<location path="Login.aspx">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

Note that you'll also need to allow anonymous access to any style sheets or scripts that are used by the anonymous pages:

<!-- Anonymous folders -->
<location path="styles">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

Be aware that the location's path attribute is relative to the web.config folder and cannot have a ~/ prefix, unlike most other path-type configuration attributes.

---

Try making a boot directory in PHP, as in

<?PHP
$ip = $_SERVER['REMOTE_ADDR'];
$privacy = ['BOOTSTRAP_CONFIG'];
$shell   = ['BOOTSTRAP_OUTPUT'];
enter code here
if $ip == $privacy {
function $privacy int $ip = "https://";
} endif {
echo $shell
}
?>

Thats mainly it!

참고URL : https://stackoverflow.com/questions/2205325/how-to-make-a-website-secured-with-https