Q&A
結局、質問は何でしょうか?
###バックエンドをDjangoでウェブ開発しています。
まだデプロイはしていません。
Djangoに限らず、自分の管理しているサイト、アプリケーションに管理者としてアクセスする必要があるときに、管理画面を使うかと思います。
ここで質問があります。
管理画面を安全に管理できるのか、ということが不安です。
自分で考えた対策は以下のとおりです。
アクセスを制限する系
- 管理画面のURLを無作為な文字列にする。
- 管理画面のURLにベーシック認証をつける
- アクセス可能なIPアドレスを指定する(自宅オンリーになってしまうが)
このようにすれば、URLがバレづらく、アクセスされづらくなるでしょうか。
また、仮に無作為な文字列にしても、解析されてしまう可能性はあるのでしょうか。
アクセスを制限しない場合
- recapcherをつける。
- SQLインジェクションなどの基本的なハッキングの対策(フレームワーク標準のもの)
- パスワードの入力回数の制限
回答2件
0
アクセスを制限しない場合
多要素認証もあるかなと思いました。
投稿2020/11/17 05:48
総合スコア1407
それはつまり制限では
0
ベストアンサー
httpsである事は前提として
管理画面を安全に管理できるのか、ということが不安です。
については
アクセス可能なIPアドレスを指定する(自宅オンリーになってしまうが)
を実施できるならそれで十分です。
このようにすれば、URLがバレづらく、アクセスされづらくなるでしょうか。
機械的にではなく人が手作業でURLを予測してアクセスしてくる可能性を指しているのなら、ランダムな文字列する事で不可能になるでしょう。
一定時間内に何度もリクエストを送って来た場合はアクセスを拒否する事もwebサーバーレベルで実施できます。
管理画面のURLにベーシック認証をつける
推測出来ない文字列・長さにしてhttpsならそれで十分でしょう。
アクセス可能なIPアドレスを指定する(自宅オンリーになってしまうが)
グローバルIPで固定IPである事が前提ですがこれが一番良いです。家に侵入されて回線使われるでもない限りこの制御を突破する事は出来ません。
IP制限の延長として、VPNを構築してLAN限定にする方法があります。
アクセスを制限しない場合
ちょっと何言ってるか意味分かりません。
投稿2020/11/17 02:47
総合スコア6426
ご丁寧にありがとうございます。
最後の
'''
アクセスを制限しない場合
'''
ちょっと何言ってるか意味分かりません。
についてですが、上記で挙げた方法でURLにログインさせづらくさせない。
つまり、https://domain.com/superuser_login
みたいにした場合に、誰でも推測可能でアクセスされると思います。
その場合の対策方法があるとしたら知りたいです。
セキュリティと一言に言っても情報漏洩とか色々ありますが、少なくともこの質問では管理画面を不正に使われない事をセキュリティと言ってますよね?
なので「アクセス制限をしないでセキュリティ担保したい」って無理に決まりきっているので、何を言っているのか分かりません。
という事で、相違があるなら質問文見直して誤りがあれば修正してください。
誤りが原因で質問意図が正しく伝わっていないという事であれば読み直して回答に追記します
しかし今の質問文のままで間違いないという事であればやはり何を聞きたいのか分かりません。
そのとおりです。質問内容に不備がありました。
あなたの回答
tips
プレビュー
