관리자화면에서 회원정보 수정시 다시 관리자 비번을 묻는것에 대해 어떻게 생각하시나요? 정보
관리자화면에서 회원정보 수정시 다시 관리자 비번을 묻는것에 대해 어떻게 생각하시나요?
본문
이것은 보안과 관련된 문제이며, 관리자의 세션이 누군가에게 가로채인 경우에 대비하기 위한 것으로 설정이나 수정등에서 다시 비번을 묻는 것입니다. (session hijacking)
그러나 게시판이나 설정등의 경우는 수정이 그리 많지 않아 관리자 비번을 다시 물어도 별상관이 없는 반면 회원정보 수정등은 관리자가 수시로 처리해야 하는 일이므로 관리자의 비번을 수시로 입력하는 것은 상당히 번거롭습니다.
이에 대해 회원님들의 의견을 들어 더 나은 방향으로 수정하고자 하오니 오랫동안 관리하셨던 노하우를 한수 전수해 주시기 바랍니다.
저희가 생각한 것은 다음과 같습니다. 참고하시어 하나만 선택해 주시기 바랍니다.
1. 기존방식고수. (기존 방식)
2. 관리자 로그인시 관리자비번을 한번 더 묻고 그 다음에는 사용자 페이지를 넘어오지 않는한 다시 비번을 묻지 않음. (한번 더 물음)
3. 로그인후 관리자 화면 접속시 관리자 비번을 더 이상 묻지 않는다. (더이상 묻지 않음)
4. 더 좋은 방법이 있음 (더좋은 방법)
그러나 게시판이나 설정등의 경우는 수정이 그리 많지 않아 관리자 비번을 다시 물어도 별상관이 없는 반면 회원정보 수정등은 관리자가 수시로 처리해야 하는 일이므로 관리자의 비번을 수시로 입력하는 것은 상당히 번거롭습니다.
이에 대해 회원님들의 의견을 들어 더 나은 방향으로 수정하고자 하오니 오랫동안 관리하셨던 노하우를 한수 전수해 주시기 바랍니다.
저희가 생각한 것은 다음과 같습니다. 참고하시어 하나만 선택해 주시기 바랍니다.
1. 기존방식고수. (기존 방식)
2. 관리자 로그인시 관리자비번을 한번 더 묻고 그 다음에는 사용자 페이지를 넘어오지 않는한 다시 비번을 묻지 않음. (한번 더 물음)
3. 로그인후 관리자 화면 접속시 관리자 비번을 더 이상 묻지 않는다. (더이상 묻지 않음)
4. 더 좋은 방법이 있음 (더좋은 방법)
추천
0
0
댓글 18개
초짜인 제가 여기에 글을 남겨도 될련지는 모르겠지만.
관리자에게도 별도의 생성과 소멸 키를 제공하면 쉬운 방법이 아닐까 생각합니다. 아닌가욤?
머 두서없는 댓글이니 무시하셔도 됩니다.
관리자에게도 별도의 생성과 소멸 키를 제공하면 쉬운 방법이 아닐까 생각합니다. 아닌가욤?
머 두서없는 댓글이니 무시하셔도 됩니다.
관리자화면 상단에 큰 메뉴들이 있잖아요..
그곳이나..
아니면
2차메뉴들에서 목록을 볼 때만 비밀번호 한번씩 묻고, 거기서 다시묻지않기를 체크하면 그 2차메뉴에서는 더이상 비번을 묻지않고, 계속묻기를 체크하면 지금 방식처럼 수정할때마다 비번을 물어보는식은 어떨까요?
그러면 게시판 관리 메뉴류 갔을 때 한번 묻고, 체크하면 그 게시판메뉴 설정부분에서는 관리자가 체크한 값에 따라 비번을 묻고..
게시판 그룹관리 메뉴에 들어갔을때도 체크하면 그 설정값에 따라 다시묻고/그만묻고.. 그런식은 어떤가요?
2차메뉴를 클릭하면 화면 중앙에 비번을 입력하고 선택하는 항목이 먼저 나온 후 목록들이 보여지는식으로요
그곳이나..
아니면
2차메뉴들에서 목록을 볼 때만 비밀번호 한번씩 묻고, 거기서 다시묻지않기를 체크하면 그 2차메뉴에서는 더이상 비번을 묻지않고, 계속묻기를 체크하면 지금 방식처럼 수정할때마다 비번을 물어보는식은 어떨까요?
그러면 게시판 관리 메뉴류 갔을 때 한번 묻고, 체크하면 그 게시판메뉴 설정부분에서는 관리자가 체크한 값에 따라 비번을 묻고..
게시판 그룹관리 메뉴에 들어갔을때도 체크하면 그 설정값에 따라 다시묻고/그만묻고.. 그런식은 어떤가요?
2차메뉴를 클릭하면 화면 중앙에 비번을 입력하고 선택하는 항목이 먼저 나온 후 목록들이 보여지는식으로요
비번 묻는건 귀찮으니
관리자는 세션 하이재킹을 당하더라도.....
권한을 뺏기지 않도록
관리자만 특별히 브라우저agent, IP 가 일치할때만 관리자 메뉴에 진입하도록.............
관리자는 세션 하이재킹을 당하더라도.....
권한을 뺏기지 않도록
관리자만 특별히 브라우저agent, IP 가 일치할때만 관리자 메뉴에 진입하도록.............
"$_SERVER['HTTP_USER_AGENT'] + IP"면 너무 폭이 좁지 않을 까요? 기껏해야 브라우저 3개 정도가 90%의 점유율을 보일테고 업데이트는 거의 자동설정이라 버전 정보도 일치할 확율이 높을 것이고 아이피는 유동이라 자주는 아니지만 가끔 한번씩 바껴서 속을 썩이지는 않을까요?
자동로그인해서 쓰는 경우만 아니면 상관없어요.
유동IP 가 실시간으로 IP 가 바뀌는 경우가 아니니깐요.
유동IP 가 실시간으로 IP 가 바뀌는 경우가 아니니깐요.
테스트 계정에 한번 적용해보고 괜찮다 싶으면 혼자만 써 보겠습니다. 감사합니다.
3. 로그인후 관리자 화면 접속시 관리바 비번을 더 이상 묻지 않는다. (더이상 묻지 않음)
오타 입니다. ㄷ ㄷ ㄷ
오타 입니다. ㄷ ㄷ ㄷ
귀차니즘으로 인한 기존방식을 고수 합니다....ㅜㅜ
선택하게 하는 것도 좋겠네요. 일이 많아지겠지만요. ^^
최초 한번은 더 묻고 안묻게하고...나왔다가 다시 들어가면 더 묻고 안묻게....반복...ㅋ
전 안물었으면 좋겠어요. 비번 넣을때마다 정말 귀찮은듯..;ㅠㅠ
관라자의 아이피에서는 묻지 않음으로 하는것은 어떤가요?
제 생각은..
사용의 편리성을 위해서는 관리자 비밀번호는 로그인할때 딱 한번만 입력하게 하는게 좋겠죠.
악의적으로 session hijacking 을 이미 당했다면 수정만 하진 않을껍니다.
대부분 관리자단에서 비밀번호를 재차 물어보는 솔루션은 드문 편이죠.
사용의 편리성을 위해서는 관리자 비밀번호는 로그인할때 딱 한번만 입력하게 하는게 좋겠죠.
악의적으로 session hijacking 을 이미 당했다면 수정만 하진 않을껍니다.
대부분 관리자단에서 비밀번호를 재차 물어보는 솔루션은 드문 편이죠.
이제 손에 다들 익어서 그런가보다...하실테지요? 그냥 기존 고수!
이것은 세션 하이제킹보다는 csrf에 가깝습니다. 꼭 있어야 할 이유가 있다고 봅니다. 다만 편의를 위해 위에서 언급한대로 로그인시 체킹을 하면 로그인한 상태에서는 묻지 않는 방법을 채택하는 건 어떤가 싶습니다.
이러한 부분의 설정을 관리자페이지에서 선택적으로 할 수 있도록 처리하면되지 않을까요?
관리자페이지 관리방법으로 비밀번호를 물어본다거나하는 방식을 관리자 스스로 선택하게하면되지 않을까요?
이때, 해제를하게되면 그로인한 하이재킹은 스스로의 선택에 의한 결과이니(책임전가는 아니지만) 받아들여야죠.
관리자페이지 관리방법으로 비밀번호를 물어본다거나하는 방식을 관리자 스스로 선택하게하면되지 않을까요?
이때, 해제를하게되면 그로인한 하이재킹은 스스로의 선택에 의한 결과이니(책임전가는 아니지만) 받아들여야죠.
이건.. 관리의 편리성과...
보안성 사이의 문제라 애매하긴 합니다만..
보안을 생각하면 그렇게 해야할 것이고...
편의성을 생각하면 기존방식 고수...@_@
애매해요~
보안성 사이의 문제라 애매하긴 합니다만..
보안을 생각하면 그렇게 해야할 것이고...
편의성을 생각하면 기존방식 고수...@_@
애매해요~
아이피로 확인하는걸로 예전에 적용해봤는데 위에서 언급하셨어...
지금생각해보니 아이피변조도 가능하니...
약간의 불편함을 해소하기위해서 관리자 페이지 접근시 유예시간 설정하는걸로 적용해볼만할것 같네요ㄷㄷ
아니면 말고요 ㅠ
지금생각해보니 아이피변조도 가능하니...
약간의 불편함을 해소하기위해서 관리자 페이지 접근시 유예시간 설정하는걸로 적용해볼만할것 같네요ㄷㄷ
아니면 말고요 ㅠ