Hur skapar man en hemsida som bara vissa får tillgång till?

Permalänk

Hur skapar man en hemsida som bara vissa får tillgång till?

Hejhej

Vi har ett uppdrag att göra en ultrasäker hemsida.
Om man ska göra så att en hemsida bara ska kunna kommas åt av vissa personer, hur kan man göra då? Ska man göra ett VPN kanske? För om man gör så att vem som helst kan komma åt hemsidan, då kan ju t ex vem som helst logga in bara han har lösenordet. Så man borde ha något certifikat också på själva mobilen för att lösa det kanske. Men vad har ni för tips och idéer om hur man kan göra en hemsida riktigt säker?

Visa signatur

PC: Windows 10 Pro x64 | ASUS Z270 ROG MAXIMUS IX CODE | Intel i7 7700K 4.2 GHz | Crucial 2x8GB@2400MHz | ASUS GeForce GTX 1070 8GB DUAL OC | Samsung 960 EVO 500GB | WD Red 2TB | Corsair TX650M 650W | Deepcool Tesseract ATX

Permalänk
Medlem

iptables med whitelist

eller

htaccess med användarnamn och lösenord

Visa signatur

ᕦ(ツ)ᕤ

Permalänk
Medlem
Skrivet av Fronix:

iptables med whitelist

eller

htaccess med användarnamn och lösenord

Tro VPN tunnel är en god väg, kör med typ en RSA lösning.

VPN serven ska helst vara "dold", alltså ingen DNS inte anv standard portar mm, bra konfigurerad brandväg mm

Visa signatur

ASUS M4A89GTD PRO/USB3 | AMD Phenom2 X6 1055T|GB GF GTX 460 | Corsair 4GB | SSD 40GB Intel X25-M | HD500GB Seagate ST3500418AS | |HD2TB Seagate ST2000DL003 | Corsair TX 650W PSU | Fractal Design Define R3

Permalänk
Rekordmedlem

Om det nu ska vara säker varför ens lägga ut sidan på normalt sätt, vore det inte bättre att ha den helt internt och bara kunna nå den via vpn till intranätet och man ska kanske även ha nån form av koddosa för att logga in med vpn utöver normal lösen.
Man kanske även ska kräva nån anpassad webläsare/virtuell dator för att kunna nå sidan så att man har koll på den biten, lite som TOR fungerar.
Det går att göra det väldigt säkert om man vill men det kostar lättanvändbarhet så det svåra är väl att hitta rätt balans och försöka klura ut vad hoten är, grannens ungar eller NSA har väldigt olika resurser.

Visa signatur

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Permalänk
Medlem
Skrivet av -8-DEAMON-8-:

Hejhej

Vi har ett uppdrag att göra en ultrasäker hemsida.

Vilka är "vi"? Är det en skoluppgift eller är det verkligen ett riktigt uppdrag som ska driftsättas av någon som inte har en aning om detta?

Permalänk
Skrivet av iXam:

Vilka är "vi"? Är det en skoluppgift eller är det verkligen ett riktigt uppdrag som ska driftsättas av någon som inte har en aning om detta?

jo det är ett exjobb på ett typ företag ("dvs" i offentlig sektor). Sen har vi också en hel del folk här på företaget som håller på mycket med säkerhets-arbete och sådant. Så vi pratar mycket med dom också. Alla verkar vara i sin egna lilla värld och alla säger lite lite olika ju. Men inte så olika ändå. Men iallafall, vi tänkte då att det kunde vara bra att höra lite på sweclockers också. Fast vi gör ingen skarp applikation/tillämpning innan alla är med på att det är tillräckligt säkert.

Jag glömde tillägga också att det ska köras på en mobil plattform. T ex smartphone eller surfplatta. :S Så en koddosa kan bli knöligt. Men ett certefikat på något sätt skulle ju kunna ligga på mobilen?
Sen sa någon något om iptables med whitelist. Hur funkar det på mobiler egentligen? Man kanske får olika ip hela tiden t ex?

Hmm, hur gör man dold VPN-server? Alltså ingen inget dns-namn eller?

Och vad kan htaccess vara? måste nog kolla upp det en skvätt.

tack för alla tips så länge fortsätt tipsa

Visa signatur

PC: Windows 10 Pro x64 | ASUS Z270 ROG MAXIMUS IX CODE | Intel i7 7700K 4.2 GHz | Crucial 2x8GB@2400MHz | ASUS GeForce GTX 1070 8GB DUAL OC | Samsung 960 EVO 500GB | WD Red 2TB | Corsair TX650M 650W | Deepcool Tesseract ATX

Permalänk
Medlem
Skrivet av -8-DEAMON-8-:

tack för alla tips så länge fortsätt tipsa

Med tanke på dina tidigare trådar och din kunskap så är mitt enda tips att backa iväg från projektet.
Hade detta varit en skoluppgift skulle det vara en annan grej men nu handlar det om skarp drift inom den "offentliga sektorn".

Men det är ju klart, jag ÄR ju en gammal surgubbe och kan ju naturligtvis ha fel här.

Permalänk
Skrivet av iXam:

Med tanke på dina tidigare trådar och din kunskap så är mitt enda tips att backa iväg från projektet.
Hade detta varit en skoluppgift skulle det vara en annan grej men nu handlar det om skarp drift inom den "offentliga sektorn".

Men det är ju klart, jag ÄR ju en gammal surgubbe och kan ju naturligtvis ha fel här.

För dom på skolan (LiU) har godkänt att vi kan göra exjobbet också. Men det ingår inte i exjobbet (Examensarbete) att göra en skarp tillämpning. Det blir nog efteråt någon gång. Jag och min kompis gick dethär programmet: http://www.liu.se/utbildning/program/dataingenjor?l=sv
Så de på företaget tyckte att vi hade de grunder som krävdes då när vi skickat in lite CV och PB.
Iallafall, eftersom vi diskuterar med säkerhetsansvariga så bör vi nog komma fram till något. Det är ju inte så att jag och min kompis sitter och hittar på något för oss själva, det kan nog finnas en liten risk i det.

Hittils har vi kommit på 3-5 olika lösningar, men det finns säkert minst 30 till vi borde hitta först innan vi kan välja ut den bästa. Därför hör vi oss runt lite för att få lite inspiration osv.

Visa signatur

PC: Windows 10 Pro x64 | ASUS Z270 ROG MAXIMUS IX CODE | Intel i7 7700K 4.2 GHz | Crucial 2x8GB@2400MHz | ASUS GeForce GTX 1070 8GB DUAL OC | Samsung 960 EVO 500GB | WD Red 2TB | Corsair TX650M 650W | Deepcool Tesseract ATX

Permalänk
Medlem
Skrivet av -8-DEAMON-8-:

Hejhej

Vi har ett uppdrag att göra en ultrasäker hemsida.
Om man ska göra så att en hemsida bara ska kunna kommas åt av vissa personer, hur kan man göra då? Ska man göra ett VPN kanske? För om man gör så att vem som helst kan komma åt hemsidan, då kan ju t ex vem som helst logga in bara han har lösenordet. Så man borde ha något certifikat också på själva mobilen för att lösa det kanske. Men vad har ni för tips och idéer om hur man kan göra en hemsida riktigt säker?

Om jag skulle vilja göra något ultra säkert skulle jag personligen skippa HTTP protokollet och programmera något eget kryptiskt protokoll.
Om du ska göra en säker hemsida betyder det att du måste förlita dig på att webservern är otroligt säker.

Om du skriver ihop en egen server-klient applikation har du full koll på på sidorna och slipper tänka på någon back-end!

Visa signatur

~. Citera så jag hittar tillbaka .~