Correct scheiden van front -en back-end Website.

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • Ijstheefles
  • Registratie: December 2011
  • Laatst online: 17-09 17:04
Hoi tweakers,

Ben op het moment bezig met het maken van een website, maar nu ik bij 't admin deel ben aangekomen vraag ik me toch af of er geen beter manier is om 't te scheiden, om de drempel van toegankelijkheid te verhogen.

Zo als ik het nu heb:
http://domein.nl - frontend
http://domein.nl/admin - backend login

Is het niet beter om te zeggen dat voor het admin gedeelte, er een compleet ander domein (of desnoods alleen ipadres) komt waarbij er op de front-end een allow from 'ip adres' zit.

Kan natuurlijk wel op dezelfde machine zitten, al is dit ook nog te scheiden.

Hoe doen de 'grotere' dit? Richt je een vpn (of ssh socks tunnel, w/e) in om uberhaupt de login pagina van de back-end te kunnen krijgen omdat die alleen localhost verbindingen toelaat?
Of is het handiger om voor het andere domein te gaan (met een naam die op het 1e gezicht er niets mee te maken heeft.) of zijn er nog andere, betere manieren?

Acties:
  • 0 Henk 'm!

  • RM-rf
  • Registratie: September 2000
  • Laatst online: 20:45

RM-rf

1 2 3 4 5 7 6 8 9

Ijstheefles schreef op woensdag 27 juni 2012 @ 13:52:


Is het niet beter om te zeggen dat voor het admin gedeelte, er een compleet ander domein (of desnoods alleen ipadres) komt waarbij er op de front-end een allow from 'ip adres' zit.
ik kan me geen enkel voordeel voorstellen voor een apart domein, anders dan een 'decoratieve'

beveiliging moet je sowieso op andere methodes regelen, het beperken van toegang via een allow-to regel kun je ook in htaccess/ of configuratie regelen voor specifieke onder-folders.

Het is overigens zelfs uitwisselbaar of een bepaald admindeel op een andere machine staat maar wel via hetzelfde domein te bereiken is... of er gebruik gemaakt wordt van verschilende domeinen voor services die op dezelfde server staan... beide is gewoon mogelijk.

[ Voor 18% gewijzigd door RM-rf op 27-06-2012 13:57 ]

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen


Acties:
  • 0 Henk 'm!

  • Glewellyn
  • Registratie: Januari 2001
  • Laatst online: 19-09 19:31

Glewellyn

is er ook weer.

Ijstheefles schreef op woensdag 27 juni 2012 @ 13:52:
Hoe doen de 'grotere' dit? Richt je een vpn (of ssh socks tunnel, w/e) in om uberhaupt de login pagina van de back-end te kunnen krijgen omdat die alleen localhost verbindingen toelaat?
Of is het handiger om voor het andere domein te gaan (met een naam die op het 1e gezicht er niets mee te maken heeft.) of zijn er nog andere, betere manieren?
Inderdaad, grote bedrijven staan alleen toegang tot het backend toe vanaf hun interne netwerk. Vaak is er dan ook een naar VPN dat interne netwerk beschikbaar. Dit wordt nog verder gescheiden door (reverse) proxies en loadbalancers in een DMZ die het verkeer naar de eigenlijke webservers doorsturen.

Als je dit naar een kleine situatie vertaalt zou je bij voorbeeld kunnen denken aan een SSH tunnel naar de webserver waarop je de site draait.

[ Voor 12% gewijzigd door Glewellyn op 27-06-2012 14:02 ]

*zucht*


Acties:
  • 0 Henk 'm!

  • Mattie112
  • Registratie: Januari 2007
  • Laatst online: 20-09 20:19
Dus gewoon domein.nl/admin maar daar even een check doen vanaf welk IP je komt :)

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)


Acties:
  • 0 Henk 'm!

  • Ijstheefles
  • Registratie: December 2011
  • Laatst online: 17-09 17:04
Mattie112 schreef op woensdag 27 juni 2012 @ 14:03:
Dus gewoon domein.nl/admin maar daar even een check doen vanaf welk IP je komt :)
Duidelijk. Dit klinkt het meest rendabel :)

Bedankt!

Acties:
  • 0 Henk 'm!

  • kwaakvaak_v2
  • Registratie: Juni 2009
  • Laatst online: 02-06 12:29
IP check is wat ik er meestal uit moet halen voor klanten, omdat ze ook graag vanaf andere plekken dan kantoor of thuis wat updates willen doen aan de website. Logins en goed in-regelde ACL is meestal meer dan voldoende om het CMS stuk af te schermen.

En in een enkel geval staat het CMS in andere public root dan de site, en is via de webserver een www.domein en een cms.domein aangemaakt. De code staat dan een nivo lager dan beide ingangen zodat wel de entities etc gedeeld kunnen worden.

Driving a cadillac in a fool's parade.


Acties:
  • 0 Henk 'm!

  • CMG
  • Registratie: Februari 2002
  • Laatst online: 10-12-2024

CMG

Security zijn layers; obscurity kan daarin ook helpen; het is dus sowieso niet handig om /admin of admin.domian.com te gebruiken. Als je altijd vanaf de zelfde plek er bij kan is een IP filter handig, maar als je toch kan VPN-en, waarom dan niet gewoon alleen luisteren op lokaal ip?

NKCSS - Projects - YouTube


Acties:
  • 0 Henk 'm!

  • kwaakvaak_v2
  • Registratie: Juni 2009
  • Laatst online: 02-06 12:29
ja want op elke hosted VPS installeer je ook even een VPN server om je pagina 1 keer in de 3 maanden te updaten ;)

Er is een verschil tussen boeiende theorie en praktijk. Vaak willen klanten een CMS want dat is handig, en het moet heeeel goed beveiligd zijn. In de praktijk passen ze 3 a 4 keer per jaar een pagina aan, en als je geluk hebt plaatsen ze af en toe een nieuwsbericht. En dat willen ze dan altijd het liefste doen vanaf een locatie waar ze geen laptop met VPN client bij hebben, of een internet verbinding van het hotel waar je alleen met poort 80 naar buiten mag.

Driving a cadillac in a fool's parade.


Acties:
  • 0 Henk 'm!

  • Ijstheefles
  • Registratie: December 2011
  • Laatst online: 17-09 17:04
kwaakvaak_v2 schreef op zondag 08 juli 2012 @ 09:50:
ja want op elke hosted VPS installeer je ook even een VPN server om je pagina 1 keer in de 3 maanden te updaten ;)

Er is een verschil tussen boeiende theorie en praktijk. Vaak willen klanten een CMS want dat is handig, en het moet heeeel goed beveiligd zijn. In de praktijk passen ze 3 a 4 keer per jaar een pagina aan, en als je geluk hebt plaatsen ze af en toe een nieuwsbericht. En dat willen ze dan altijd het liefste doen vanaf een locatie waar ze geen laptop met VPN client bij hebben, of een internet verbinding van het hotel waar je alleen met poort 80 naar buiten mag.
Bij 'normale' klanten geef ik je 100% gelijk en ben ik het compleet met je eens (dubbel op =P )

In dit geval zijn er voorlopig 2 personen (waarvan ik degene ben die het in 95% van de tijd zal doen) die het moeten kunnen. Een ip filter + gebr/w8woord in een .htaccess lijkt me dan 't beste. (En anders gooi ik daar ook nog een login pagina achter =P )
Pagina: 1