Автоматический вход между отдельными php веб-приложениями. Проблема безопасности?

Question

У нас есть веб-сайт / база данных технической поддержки, которые мы используем для регистрации наших взаимодействий с клиентами. Сотрудники нашей службы технической поддержки не способны создавать свои собственные учетные записи. Мы также используем Mantis на том же сервере для отслеживания ошибок.

На сайте технической поддержки мы хотели бы иметь ссылку на Mantis, чтобы наши сотрудники технической поддержки могли быстро вводить отчет об ошибках. Быстро, это означает, что специалисту технической поддержки не нужно будет входить в Mantis после того, как он щелкнет ссылку.

Таким образом, мы вызываем модифицированную функцию аутентификации в Mantis с нашего сайта технической поддержки, которая проверяет имя пользователя и, если он существует, автоматически регистрирует пользователя в Mantis. Никакой проверки пароля, потому что мы были в большом порыве с большим количеством более важных вещей, происходящих.

Это угроза безопасности?

Answer 1

Это риск? Да, но могут быть смягчающие факторы.

1. Проводится ли проверка от сервера к серверу, или клиентский javascript выполняет вызов? Если сервер к серверу, это немного снижает риск.

2. Является ли богомол публичным лицом или полностью внутренним? Если внутренний, то это ограничивает область действия только для внутренних пользователей.

3. Если вся информация об ошибке была «просочилась» в Интернет, имеет ли это потенциальные последствия для вашего работодателя? Это сложнее. Кроме того, этот должен быть сопоставлен с доступом, уже предоставленным техническим специалистам.

4. Каков максимальный потенциал повреждения? Другими словами, давайте предположим, что один из ваших техников поддержки взбешен и решает попробовать систему компании.

Что они могли сделать?

Mantis просто хранит информацию об отслеживании ошибок. Кроме того, если резервное копирование выполняется на сервере в ночное время, вы ограничены потенциальной порчей ошибок на один день. Вряд ли стоит с точки зрения хакера и не имеет для компании реального значения.

Количество используемой защиты должно соответствовать тому, что она защищает.