URL-адрес для входа в SaaS

Ссылка на этот вопрос, заданный на этом форуме о дизайне URL для SSL-Secured Приложения SaaS, и при условии, что используется вариант C, при котором каждая учетная запись имеет уникальный подкаталог в общем доменном имени; вопрос: для приложения SaaS, которое имеет дело с очень конфиденциальными данными (приложение для банковских или медицинских записей), что является лучшим подходом к разработке точки входа на страницу входа клиента для конкретной компании:

  1. Используйте уникальный логический URL-адрес с ключами, например, для компании ABC: https://saas.foobar.com/abc
  2. Используйте более загадочный URL-адрес, который использует ключ компании в качестве параметра URL-адреса, например: https://saas.foobar.com/login?companykey="232323355AAc"
  3. Спроектируйте систему так, чтобы разрешить доступ с использованием обоих вышеперечисленных подходов, и позволить клиенту выбрать подход, который соответствует уровню риска на основе их собственных корпоративных политик безопасности.

Компромисс между подходом один и подходом два заключается в простоте, а не в безопасности. Кроме того, является ли использование первого подхода приемлемым, учитывая, что угаданный URL-адрес потенциально на один обруч меньше, через который хакер должен пройти, чтобы получить доступ, и, возможно, более уязвим для методов социальной инженерии?


saas login
person Bill Griffith    schedule 23.02.2010    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Вы можете предложить глобальную страницу входа, которая перенаправляет пользователей после аутентификации на удобочитаемый вариант URL-пути (что-то, что люди могут прочитать, выглядит как минимум более заслуживающим доверия), но всегда блокируйте доступ к варианту URL-пути для запросов без действительного сеанса.

Так что вам не придется вкладывать энергию в какую-то безопасность до безвестности. Вы можете подумать о дополнительном размещении брандмауэра веб-приложения перед вашими URL-адресами, которые необходимо защитить.

(Кстати, метод companykey должен быть каким-то образом распространен по почте? Он будет добавлен в закладки, и его будет нелегко запомнить.)

person initall    schedule 23.02.2010
comment
Проблема с глобальной страницей входа заключается в том, что направление для этого приложения состоит в том, чтобы позволить идентификатору пользователя быть уникальным для компании, а не глобально в системе, поэтому компания должна быть идентифицирована, прежде чем разрешать отображение страницы входа. . Что касается распространения URL-адреса в случае compkey, существует два подхода: отправить его по электронной почте или предположить, что компания предоставит ссылку на портале интранета (если таковой существует). Тот факт, что compkey нелегко запомнить, можно рассматривать как уровень безопасности, который действительно решает суть этого вопроса. - person Bill Griffith; 23.02.2010
comment
Компания, которую я знаю, делает то же самое и только просит пользователей добавить идентификатор своей компании перед своим UID с разделителем, например COMPANY/12345. После этого перенаправление не проблема. Учтите, что если что-то запоминается с трудом, это кладут под клавиатуру, записывают на листе бумаги рядом со столом и так далее. С помощью брандмауэра веб-приложения или прокси-сервера вы можете вернуть запрашивающему неавторизованному клиенту информацию, скрывающую результаты, или HTTP-статистику любого рода. - person initall; 23.02.2010
comment
Ваше предложение добавить префикс компании к идентификатору пользователя является хорошим, однако, как часть дизайна, страница входа предоставляет информацию о компании, поэтому страницу глобального входа следует исключить. Ваша точка зрения о написании сложных URL-адресов также заслуживает внимания. Однако мне не ясно, как брандмауэр веб-приложения или прокси-сервер можно применить к этому дизайну. Можете ли вы указать мне пример или технический документ по этому вопросу? Спасибо. - person Bill Griffith; 23.02.2010
comment
Ок, их довольно много. Вот один из них, с которым я работал: artofdefence.com/dokumente/hyperguard_en.pdf почти для каждого запроса вы можете определять правила или действия, маскировать собственное управление сессиями криптографически надежным и так далее. Haproxy haproxy.1wt.eu позволяет определить управление заголовками на основе регулярных выражений. - person initall; 23.02.2010