Как обезопасить личные формы администратора в Heroku

Question

Как я могу обеспечить конфиденциальность форм администрирования в Heroku? Это формы для управления сайтом - редактирование основных (или статических) данных, настроек и т. Д. Обычно я бы никогда не выставлял их в Интернете вообще, а просто применил бы базовую безопасность учетной записи в приложении для управления внутренними привилегиями.

т.е. что мне интересно?

1. Требуется ли https для защиты сайта при использовании authlogic?
2. Можно ли (как) настроить ваш веб-сервер на использование SSL только на определенных маршрутах?
3. Достаточно ли безопасен Authlogic + SSL для защиты страницы, которая в случае взлома может разрушить весь ваш бизнес?
4. Есть ли способ повысить безопасность учетной записи администратора heroku, чтобы заблокировать часть сайта только для его владельца?
5. Полагаю, что управление сайтом с помощью PG Console даст мне необходимую мне безопасность, но не удобство использования.

Answer 1

Я бы исследовал наличие локального приложения для администраторов rails, которое подключается к установке heroku postgres.Информация о прямом подключении: http://devcenter.heroku.com/articles/heroku-postgresql

Таким образом, вы не допускаете / admin к Интернету, и это примерно то же самое, что и уязвимость "heroku console".может обеспечить сетевой доступ к службе локального администратора вместе с authlogic на уровне приложения.

Соединения postgresql относительно новые, поэтому YMMV

Answer 2

У меня нет знаний по Rails или Heroku, но я могу предположить, что если ваш сайт уже требует аутентификацию , добавьте авторизацию часть для ваших административных пользователей, которые позволяют им только доступ к вашей странице администратора.Проверьте CanCan для авторизации.

Если администрирование требуется только для ваших страниц администратора, то вы, вероятно, можете обойтись без использования только AuthLogic, чтобы убедиться, что указанный пользователь имеет доступ к этой странице администратора.(s).

1. Я склонен думать о SSL как о транспортной проблеме, и вряд ли AuthLogic потребует его.При этом всякий раз, когда вы передаете конфиденциальные данные, пароли, тогда я бы посчитал SSL обязательным требованием.Если приложение защищает ваш рецепт печенья бабушки, то вы можете отказаться от реализации SSL, за исключением опыта.
2. Я могу ошибаться, но SSL предназначен для всего сайта / домена.Если ваши страницы администратора размещены на отдельном сайте / домене, это может сработать.
3. AuthLogic + SSL должен быть достаточно безопасным - администратор получит взломанный пароль (заметка, электронная почта и т. Д.)поставить под угрозу любую безопасность у вас есть на месте.Если под «уничтожением» вы подразумеваете утечку конфиденциальных данных клиентов, то страхование ответственности может смягчить это.Если вы имеете в виду, что ваш сайт будет недоступен, то включите процессы аварийного восстановления, чтобы вернуть ваш сайт в оперативный режим (как можно скорее) и, возможно, сделать недействительными существующие учетные данные администратора?
4. Черт (полностью над моей головой)
5. Свист (полностью над моей головой)

HTH,

Z