gpt4 book ai didi

security - 访问控制列表最佳实践 - ACL - 为攻击站点的用户设置负面角色

转载 作者:行者123 更新时间:2023-12-04 03:26:53 25 4
gpt4 key购买 nike

语境

我刚刚在阅读有关 Zend ACL 的信息
http://framework.zend.com/manual/en/zend.acl.html

问题

我在一台服务器上运行三个 Zend 应用程序。

  • 我的前端应用程序
  • 我的前端成员应用程序
  • 我的后端应用程序(站点所有者的管理员)

  • 在我正在考虑使用两种类型的 ACL 的应用程序中。
  • 应用程序范围的 ACL - ''app ACL'' 权限只是 - “访问”(或者可能称之为“读取”,(甚至是“SendHTTPRequests”))
  • 帐户范围 - 将所有其他权限留给单个“帐户 ACL”

  • 我认为这将更容易阻止垃圾邮件发送者和其他攻击者
    if (UserActivityScoresHighProbabilityOfHacking_Specification->IsSatisfiedBy(User))
    {
    User->addrole(Attacker)
    }

    也许有这样的规则:

    我的前端应用程序访问控制
  • 名称 = 攻击者
  • 唯一权限 = 无
  • 继承权限 = N/A


  • 姓名 = 客人
  • 唯一权限 = SendHTTPRequests
  • 继承权限 = N/A


  • 姓名 = 成员(member)
  • 唯一权限 = SendHTTPRequests
  • 继承权限自 = 访客


  • 姓名 = 管理员
  • 唯一权限 =(所有权限)
  • 继承权限 = N/A

  • 其他应用程序将有更严格的规则来拒绝访客等

    所以要回答的问题是:

    将“攻击者”(负面角色)的角色分配给用户是否会让您觉得这是一件明智的事情。

    或者这与一般最佳实践相反?

    最佳答案

    使用 ACL 基本上有两种理念:

  • 启动时全部拒绝并仅在检查黑名单/白名单/权限以及您想要的所有检查后才能访问资源。
  • 启动时允许所有 然后拒绝访问敏感区域,只有在检查后才允许访问。

  • 我通常更喜欢第一个。
    当您需要保护的区域较小且主要是公共(public)区域时,第二个效果会更好。对每个调用进行检查会为您的应用程序增加一些权重。

    关于security - 访问控制列表最佳实践 - ACL - 为攻击站点的用户设置负面角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1704264/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com