V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
jss
V2EX  ›  程序员

公网远程管理后台接口是否有必要加密数据

  •  
  •   jss · 2019-12-23 09:12:36 +08:00 · 3007 次点击
    这是一个创建于 1831 天前的主题,其中的信息可能已经有所发展或是发生改变。

    线上管理系统在某云,后台管理员客户端网络环境无法确定,在这种环境下管理系统后台数据,接口使用 https 外是否有必要在做数据加密,如果需要加密,网页端有什么方案? js 加密?

    13 条回复    2019-12-23 19:45:37 +08:00
    whileFalse
        1
    whileFalse  
       2019-12-23 09:20:09 +08:00
    意义不大。
    angryfish
        2
    angryfish  
       2019-12-23 09:23:13 +08:00
    我觉得从安全角度出发,管理后台应该最好在内网进行。如果管理员客户端网络环境无法确定,可以使用 vpn 方式加多一层安全保护
    shynome
        3
    shynome  
       2019-12-23 09:26:25 +08:00 via Android
    https 客户端认证
    wizardoz
        4
    wizardoz  
       2019-12-23 09:28:03 +08:00
    后台管理可以配置 SSL 双向认证,就是客户端也需要有证书和私钥才能建立连接。
    dongeast52123
        5
    dongeast52123  
       2019-12-23 09:47:43 +08:00
    VPN 才是王道。
    locoz
        6
    locoz  
       2019-12-23 10:37:09 +08:00   ❤️ 1
    在客户端网络环境无法确定的情况下,HTTPS 已经足够安全了,像#4 说的双向认证打开后基本可以保障不会被中间人攻击。这种情况下 JS 上做数据的加解密毫无意义,套娃行为而已。

    当然纯 HTTPS 而已的话还是有被爆破后台的可能性,所以最好的办法是建立私有信道,也就是 VPN,并且加上只有通过内网和 VPN 访问的人才能访问的限制,这样的话只要管理员、客户端、VPN 的通信协议本身足够安全就不会被攻击。
    locoz
        7
    locoz  
       2019-12-23 10:37:09 +08:00
    在客户端网络环境无法确定的情况下,HTTPS 已经足够安全了,像#4 说的双向认证打开后基本可以保障不会被中间人攻击。这种情况下 JS 上做数据的加解密毫无意义,套娃行为而已。

    当然纯 HTTPS 而已的话还是有被爆破后台的可能性,所以最好的办法是建立私有信道,也就是 VPN,并且加上只有通过内网和 VPN 访问的人才能访问的限制,这样的话只要管理员、客户端、VPN 的通信协议本身足够安全就不会被攻击。
    locoz
        8
    locoz  
       2019-12-23 10:40:02 +08:00
    @locoz #6 补充一下,刚刚说的不太严谨,应该是“就不会被人从客户端这边攻击”,服务端被攻击了的话还是没办法。
    chinvo
        9
    chinvo  
       2019-12-23 10:51:02 +08:00 via iPhone
    js 加密说的粗俗一点只是脱裤子放屁
    519718366
        10
    519718366  
       2019-12-23 11:24:04 +08:00 via iPhone
    vpn
    eason1874
        11
    eason1874  
       2019-12-23 11:25:19 +08:00
    一般来说,用 Firefox 的话有 HTTPS 就够了,因为 Firefox 默认不用系统存储的证书,就算系统被福报那种插件安装了他们自签发的根证书,他们也劫持不了。

    用其他浏览器的话,HTTPS 也不一定靠谱,因为根证书不可控。(总不能要求管理人员每次访问都看一下证书吧)

    最可靠就是双向认证。退而求其次,可以做个浏览器扩展,必须安装扩展才能访问,而扩展负责确认当前连接的 HTTPS 证书正确,避免管理人员用了钓鱼环境而不自知。
    lc7029
        12
    lc7029  
       2019-12-23 13:51:36 +08:00
    管理最好是在内网,如果必须使用公网,最好是通过 npv 加密。
    另外是加行为审计。
    no1xsyzy
        13
    no1xsyzy  
       2019-12-23 15:32:52 +08:00
    @eason1874 SSL pinning 或者叫 certificate pinning
    MeteorCat
        14
    MeteorCat  
       2019-12-23 19:45:37 +08:00 via Android
    自签 ssl 证书
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5760 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.