关于 Magento 的安全性

虫虫 发布于 2011/11/19 13:52
阅读 1K+
收藏 7

最近有朋友问到 Magento 的安全性如何,有哪些功能是用来提升电子商务网站的安全性的?我粗略想了想,确实有不少,今天花了点时间,整理了一下,大致有以下八点:

1. 支持前后台的 SSL

由于国内网站的支付基本上是通过第三方(支付宝,银行等)完成的,所以大部分国内的电子商务网站都是没有 SSL 的。这是很不安全的,理论上,用户登陆以后就应该用SSL。后台的管理员界面,如果数据敏感的话,更应该支持SSL传输。Magento在这一点上是做的很好的,可以在配置前后台的SSL传输。

2. 自定义管理后台路径

一般的网店程序,管理后台的路径往往是“/admin” 或者 “/manager”等固定的路径。这就给了攻击者机会去攻击后台的用户认证体系。Magento可以自定义后台登陆的路径,你可以改成“/goaway”这样的非常用路径,这样只要你自己不泄密,就没有人知道你的后台路径了。

3. 后台URL添加 Secret Key

普通的后台路径是这样的

http://www.example.com/index.php/admin/system_config/edit/section/admin/

启用后台 Secret Key 后的URL是这样的

http://www.example.com/index.php/admin/system_config/edit/section/admin/key/5c3e718a2269ac5d1dcdadc8fb4b0b84/

这个 Secret Key 是每一个后台的URL都不一样的,例如管理用户和管理订单页面的Key就是不一样的。而且每一个Magento的安装都不一样。这样就没有人可以猜测到你后台的任何URL了。

4. 自定义后台 Session 失效时间

Magento允许管理员设置后台Session的失效时间。(截图见第三点)

5. 后台用户名大小写敏感

Magento可以让管理员选择,后台的用户名是否大小写敏感 。(截图见第三点)

6. 开发者 IP 限制

如果你正在调试网站,你可以通过这个功能限制特定的IP才能访问网站。

7. 前台 Cookie 管理

管理员可以设置前台的 Cookie 失效,路径,域名等等。

8. 前台 Session 验证

我不得不说,Magento的这套Session验证机制确实无比强劲,基本上考虑到了所有攻击的手段,例如中间人攻击,变换HTTP头等等。我在两年前曾经发现了这个验证机制的一个小问题,详情请看这里 。我不能说这是一个bug,只能算是副作用,哈哈!

 

返回顶部
顶部