관리자화면에서 회원정보 수정시 다시 관리자 비번을 묻는것에 대해 어떻게 생각하시나요?
이것은 보안과 관련된 문제이며, 관리자의 세션이 누군가에게 가로채인 경우에 대비하기 위한 것으로 설정이나 수정등에서 다시 비번을 묻는 것입니다. (session hijacking)
그러나 게시판이나 설정등의 경우는 수정이 그리 많지 않아 관리자 비번을 다시 물어도 별상관이 없는 반면 회원정보 수정등은 관리자가 수시로 처리해야 하는 일이므로 관리자의 비번을 수시로 입력하는 것은 상당히 번거롭습니다.
이에 대해 회원님들의 의견을 들어 더 나은 방향으로 수정하고자 하오니 오랫동안 관리하셨던 노하우를 한수 전수해 주시기 바랍니다.
저희가 생각한 것은 다음과 같습니다. 참고하시어 하나만 선택해 주시기 바랍니다.
1. 기존방식고수. (기존 방식)
2. 관리자 로그인시 관리자비번을 한번 더 묻고 그 다음에는 사용자 페이지를 넘어오지 않는한 다시 비번을 묻지 않음. (한번 더 물음)
3. 로그인후 관리자 화면 접속시 관리자 비번을 더 이상 묻지 않는다. (더이상 묻지 않음)
4. 더 좋은 방법이 있음 (더좋은 방법)
그러나 게시판이나 설정등의 경우는 수정이 그리 많지 않아 관리자 비번을 다시 물어도 별상관이 없는 반면 회원정보 수정등은 관리자가 수시로 처리해야 하는 일이므로 관리자의 비번을 수시로 입력하는 것은 상당히 번거롭습니다.
이에 대해 회원님들의 의견을 들어 더 나은 방향으로 수정하고자 하오니 오랫동안 관리하셨던 노하우를 한수 전수해 주시기 바랍니다.
저희가 생각한 것은 다음과 같습니다. 참고하시어 하나만 선택해 주시기 바랍니다.
1. 기존방식고수. (기존 방식)
2. 관리자 로그인시 관리자비번을 한번 더 묻고 그 다음에는 사용자 페이지를 넘어오지 않는한 다시 비번을 묻지 않음. (한번 더 물음)
3. 로그인후 관리자 화면 접속시 관리자 비번을 더 이상 묻지 않는다. (더이상 묻지 않음)
4. 더 좋은 방법이 있음 (더좋은 방법)
|
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기
댓글 18개
관리자에게도 별도의 생성과 소멸 키를 제공하면 쉬운 방법이 아닐까 생각합니다. 아닌가욤?
머 두서없는 댓글이니 무시하셔도 됩니다.
그곳이나..
아니면
2차메뉴들에서 목록을 볼 때만 비밀번호 한번씩 묻고, 거기서 다시묻지않기를 체크하면 그 2차메뉴에서는 더이상 비번을 묻지않고, 계속묻기를 체크하면 지금 방식처럼 수정할때마다 비번을 물어보는식은 어떨까요?
그러면 게시판 관리 메뉴류 갔을 때 한번 묻고, 체크하면 그 게시판메뉴 설정부분에서는 관리자가 체크한 값에 따라 비번을 묻고..
게시판 그룹관리 메뉴에 들어갔을때도 체크하면 그 설정값에 따라 다시묻고/그만묻고.. 그런식은 어떤가요?
2차메뉴를 클릭하면 화면 중앙에 비번을 입력하고 선택하는 항목이 먼저 나온 후 목록들이 보여지는식으로요
관리자는 세션 하이재킹을 당하더라도.....
권한을 뺏기지 않도록
관리자만 특별히 브라우저agent, IP 가 일치할때만 관리자 메뉴에 진입하도록.............
유동IP 가 실시간으로 IP 가 바뀌는 경우가 아니니깐요.
오타 입니다. ㄷ ㄷ ㄷ
사용의 편리성을 위해서는 관리자 비밀번호는 로그인할때 딱 한번만 입력하게 하는게 좋겠죠.
악의적으로 session hijacking 을 이미 당했다면 수정만 하진 않을껍니다.
대부분 관리자단에서 비밀번호를 재차 물어보는 솔루션은 드문 편이죠.
관리자페이지 관리방법으로 비밀번호를 물어본다거나하는 방식을 관리자 스스로 선택하게하면되지 않을까요?
이때, 해제를하게되면 그로인한 하이재킹은 스스로의 선택에 의한 결과이니(책임전가는 아니지만) 받아들여야죠.
보안성 사이의 문제라 애매하긴 합니다만..
보안을 생각하면 그렇게 해야할 것이고...
편의성을 생각하면 기존방식 고수...@_@
애매해요~
지금생각해보니 아이피변조도 가능하니...
약간의 불편함을 해소하기위해서 관리자 페이지 접근시 유예시간 설정하는걸로 적용해볼만할것 같네요ㄷㄷ
아니면 말고요 ㅠ