Wim Deblauwe
2016-06-23 16:45:55 UTC
在作為開發人員的工作中,有時需要客戶提供用戶名/密碼組合,以確保第3方服務上的設置正確無誤,才能與我們正在構建的網站/應用程序一起使用。例如。我們在遊戲網站上使用的付款服務提供商。
什麼是詢問其用戶名和密碼以確保其安全的好方法?如果我確實給他們發送電子郵件,他們只是要給我發回帶有密碼的純文本電子郵件,但那是不安全的。
更新:
我看到我的問題有點被誤解了,因此我將添加一個示例:
假設我是一家軟件公司CoolSoft的開發人員。另一家公司(我們稱它們為Games,Inc.)希望我們為他們創建一個網站。該網站將使用我們需要與之集成的第三方服務進行支付和客戶支持。 Games,Inc.與支付提供商和客戶支持提供商一起創建帳戶。但是它們完全不是技術性的,我們需要擁有其憑據才能設置正確的回調URL等。他們如何安全地將密碼發送給我們,以便我們可以更改其帳戶的設置(我們永遠不會親自見面)? / p>
人與人之間的接觸不合時宜嗎?
是的,確實忘記了提及。
雖然Philip的答案似乎不錯,但這並不總是可行的解決方案,因此您可以使用諸如oleksii之類的端到端加密應用程序。
剛剛注意到一個類似的問題:http://superuser.com/questions/21391/how-can-clients-easily-and-securely-send-me-passwords
一旦您了解了客戶的信譽,是什麼阻止他們將您將來在任何時候出現的任何問題歸咎於您?您真的不想要這些信息
我在這樣的第三方網站上工作,您絕對需要這些憑據來進行開發。我們要做的(因為這始終是我們的初始開發類型的工作)是在開發過程中使用一次性密碼。然後,作為產品移交的一部分,我們將引導客戶逐步接管憑據並設置自己的真實密碼。這消除了每個人都提到的因將來的行為而受到指責的問題。
@NeilSmithline嗯,事實上,他們在OP完成他正在做的事情后就立即更改了密碼,因為他們遵循理智的安全策略(例如理智的人)嗎?
請檢查您的網站以進行SQL注入。您的代碼聞起來。
您應該能夠在代碼中簡單地添加一個管理鉤子。就像一個隱藏參數`?adminlogin = true`,然後在用戶帳戶中輸入管理員密碼。SQL可以改為檢查管理員的密碼。
抱歉,您的榜樣使我不清楚。你能說清楚結局嗎?為什麼需要憑證?您為什麼要“修改他們帳戶上的設置”?
您的示例太抽象了。公司運動會做什麼?CoolSoft的網站是什麼?
“我們從不親自見面”也許你應該。在我看來,這部戲中演員太多。CoolSoft,Games,支付提供商,客戶支持提供商:已經有4個參與者,這太多了。我認為這是您問題的一部分。
我可以對我的`?adminlogin = true`建議作出回應嗎?
我對在這種情況下表示驚訝的人數感到困惑。是的,在理想的世界中,每個參與者都將是該站點的訂戶,並在解決方案上進行協作。但是這個問題對我來說似乎是完全合理的,因為“鑑於不幸的情況,我無法完全控制住該情況,如何將安全風險降至最低”。
舉一個具體的例子,考慮一個DNS控制面板。這些對於非技術用戶來說完全是莫名其妙的,但是作為部署的一部分,可能需要多次訪問。在理想情況下,DNS提供程序將允許臨時委派對第二個用戶名的訪問,但是在現實世界中,您將需要以某種方式登錄該控制面板。