私はドメインを持っています - www.domainname.com。PHP - サブフォルダまたはサブドメイン
私は今、管理ページに入れています - サイトで起こる操作を管理する。
私は別の新しいドメイン名とCURLなどを使用したくないので、私はこれらの2つの選択肢があると思う:
www.domainname.com/admin
www.admin.domainname.com
注:私は名「管理者」を使用しません。
セキュリティについて - どちらかの設定が優先されますか?
注:CURLを使用せずに同じDBにアクセスする必要があり、SSLを使用します(サブドメインに影響するかどうかはわかりません)。
アドバイスはありますか?
THX
あなたはウル希望するドメインで管理者の一部にアクセスするには、httpd.confファイルを設定することができます...あなたは仮想ホストの作成に行くことができます
を参照してくださいにもこれを参照してください。 Virtual Host Creation
歓声 - httpd.confにアクセスできない - とにかくホスティング会社で... – Adam
しかし、あなたはそれを利用可能にするよう依頼するかもしれない –
セキュリティ用語では、2つの間に顕著な違いがあります。その理由は、XSS攻撃とCookieスコープの影響によるものです。
クロスサイトスクリプティングの脆弱性がある場合、攻撃者はユーザーのCookieを盗み、追加の攻撃(キーロギング、履歴スヌーピング、フィッシング/攻撃サイトへのリダイレクト)を実行する可能性があります。
サイトの管理領域がhttp://www.domainname.com/admin/でホストされた場合、管理者のユーザー(および管理者の機能性)もユーザー領域のXSSの脆弱性によって攻撃される可能性があります。
http://admin.domainname.comのように全く異なるドメインで管理エリアがホストされていた場合、javasriptの同一オリジンポリシーとCookieスコープルールのため、ユーザーにXSSの脆弱性が存在する場合、管理領域を攻撃することはできませんエリア。
http://www.domainname.com/とhttp://admin.domainname.com/の場合は、必ずwww.の接頭辞を付けてユーザー領域にサービスを提供するようにしてください。サイトのユーザー領域をhttp://domainname.comから提供し、Cookieの有効範囲を.domainname.comにすると、管理領域のCookieはサイトのユーザー領域に公開されます。
私はセキュリティとは関係ないと思います。あなたは常に、攻撃者があなたのことをすべて知っていると想定するべきです。 – kingdaemon
okだからサイトの管理セクションがサイトのフォルダまたはサブドメインの下に存在するかどうかに関して本当の違いはない...人々の意見にちょうど興味があった... – Adam
はい正しいことは問題ではないが、 urlに "admin"を表示し、www.myaccess.comのような任意のurlでadmin部分にアクセスしたい場合は、仮想ホストを設定してください。 –