如何保护Heroku中的私有管理表单

Question

如何确保Heroku中的私用管理表单？这些是管理网站的表单-编辑主(或静态)数据，设置等。通常，我不会公开这些在一般互联网，并将应用程序的基本帐户安全管理内部权限。

也就是我想知道的事情？

1. 当使用authlogic时，https是保护站点的必要条件吗？
2. 是否有可能(如何)将您的how服务器配置为只在某些路由上要求SSL？
3. Authlogic + SSL是否足够安全，以确保页面的安全，如果受到破坏，会破坏整个业务吗？
4. 有没有一种方法可以利用heroku的管理帐户安全性来将站点的一部分锁定给它的所有者？
5. 我想使用PG控制台来管理站点会给我提供我所需要的安全性，而不是可用性。

Answer 1

我不了解Rails或Heroku的知识，但我的看法是，如果您的站点已经需要身份验证，请继续添加只允许他们访问您的管理页面的管理用户的授权部分。查看CanCan以获得授权。

如果只有您的管理页需要管理，那么您可能只需要使用AuthLogic来确保已识别的用户正在访问这些管理页。

1. 我倾向于认为SSL是一个传输问题，这使得AuthLogic不太可能需要。尽管如此，无论何时，您在传递敏感数据、密码时，我都会认为SSL是必需的。如果应用程序正在保护祖母的cookie食谱，那么除了体验之外，您可能放弃SSL实现。
2. 我可能错了，但是SSL是针对整个站点/域的。如果您的管理页是托管在一个单独的网站/域，那么这可能是可行的。
3. AuthLogic + SSL应该是足够安全的-一个管理员用户的密码被黑(粘便条，电子邮件等)将损害任何您已经到位的安全。如果你所说的“破坏”，你指的是敏感的客户数据泄露，那么责任保险可能会减轻这一点。如果您的站点将被关闭，那么就设置更远的恢复过程，使您的站点恢复/联机(尽快)，并可能使现有的管理凭据失效？
4. 哇(完全超过我的头)
5. 哇(完全超过我的头)

HTH，

Z

Answer 2

我会调查有一个本地rails管理应用程序连接到heroku安装。直接连接信息：http://devcenter.heroku.com/articles/heroku-postgresql

这样，您就可以将/admin排除在internet之外，并且与"heroku控制台“漏洞在安全性上大致相同。

您可以保护对本地管理服务的网络访问，以及应用程序层的创作逻辑。

postgresql连接是相对较新的，所以YMMV