Как отгородить сайты разработчиков и / или бета-версии от публичных и поисковых ботов?

Question

Мне нужны dev и beta-сайты, размещенные на том же сервере, что и производственная среда (давайте позволим этому летать по практическим соображениям).

Чтобы упростить задачу, я могу принять одинаковую защиту на обоих devи бета-версия - в основном, не позволяйте ей обойтись и добавьте что-то не так с именами пользователей и паролями, чтобы никто и их брат не получили доступ (опять же, нужно быть практичным).Я понимаю, что многие люди хотели бы иметь другие права доступа для dev, чем для beta, но это не является частью требований здесь.

Использование файла robots.txt само собой разумеющееся, но тогда возникает вопрос: должен ли дополнительный хост (ы)) (он же «субдомен (ы)») будет представлен инструментам Google для веб-мастеров в качестве дополнительной меры защиты от непреднамеренного паутинга?Само собой разумеется, но не будет прямых ссылок на сайты разработчиков / бета-версий, поэтому вам придется идеально вводить адрес (без увеличения с помощью перезаписи URL или другой помощи).

Какдоступ может быть ограничен только нашей командой?IP-адреса не будут работать из-за различных методов доступа в Интернет (встречи в обеденных залах с Wi-Fi и т. Д.).

Возможно наличие dev / beta и создание INCLUDE небольшого файла (или вызова компонента), который ищет переменную URL для установки (на сайтах dev / beta) или не ищет переменную URL (на рабочем сайте).Таким образом, вы могли бы оставить другой INCLUDE или компонент (названный так же) на соответствующих сайтах, и в противном случае источник не потребовал бы изменения при переходе от разработки к производству.

Я действительно хочу избежать полнойо проверке подлинности пользователя на любом уровне (уровне приложения или веб-сервере), и я понимаю, что это оставляет вещи довольно открытыми, но на самом деле цель состоит в том, чтобы просто предотвратить непреднамеренный просмотр подготовительных сайтов.

Answer 1

Обычно я вижу аутентификацию на основе веб-сервера с одним общим именем пользователя и паролем для всех пользователей, это должно быть легко настроить.Интересная уловка может заключаться в том, чтобы вместо этого проверить наличие cookie-файла, а затем просто лучше скрыть страницу, чтобы установить этот cookie-файл.Вы можете удалить эту страницу, когда все ее посещали, или выполнить аутентификацию только для этого файла, или разрешить доступ к ней только из офиса и требовать, чтобы люди, работающие из дома, использовали VPN или посещали офис, если они удаляют свои куки.

Answer 2

Я абсолютно не знаю, является ли это «правильным» способом сделать это, но для нас мы размещаем все сайты Dev и Beta на очень больших номерах портов, на которые сканеры / пауки / индексаторы никогда не переходят (фактически,Я не знаю ни одной из моих мыслей, которые выходят за пределы порта 80, если они не переходят по прямой ссылке.

Затем у нас есть справочная страница со списком всех сайтов со ссылками на ихсоответствующие номера портов, причем только эта страница защищена паролем.Для сайтов, связанных с транзакциями на реальные деньги или другими конфиденциальными данными, в верхней части веб-сайта мы показываем короткую красную полосу, объясняющую, что это всего лишь демонстрационный сервер, при очень редкой вероятности, что кто-то напрямую перейдет на URL-адрес разработчика и номер порта.

Страница индекса также находится на нестандартном (! = 80) порту.Но даже если сканер достигнет его, он не сможет пройти мимо ввода пароля и никогда не найдет прямые ссылки на все другие порты.

Таким образом, ваши разработчики смогут получить доступ к страницам с прямыми URL-адресами иПорты, и у них есть защищенный паролем индекс для резервного копирования, если они забудут.