身份证图片访问控制

时间 : 12-07-09 栏目 : 网站架构 作者 : 老薛 评论 : 0 点击 : 745 次

首先不要在常识上作死:

涉及敏感身份信息时,HTTPS是必须的。
图片千万不要给出直接访问到图片文件的地址。
图片文件本身一定要在www根目录之外,实在不行那就要用http服务器的规则(.htaccess等)卡死一切访问。
千万不要用referer之类自欺欺人的限制方法。
敏感信息必须分库,测试环境和生产环境必须严格分离,DBA和开发必须严格分权。严禁开发人员在真正的敏感信息库中“畅通无阻”。
常识没问题的基础上,从访问控制技术来说:

实际上只要敏感信息(身份证图,以及姓名性别身份证号等文字)HTTPS就可以了。完全可以HTTP页面+JS脚本动态请求HTTPS内容,甚至<iframe>也是个选择。如果条件不允许,其实不一定要一步到位全程HTTPS。
图片务必用PHP请求直接写给用户,这样才有可能用代码来保证卡住图片的访问权。
从安全策略来说:

社会工程学才是杀招。真正最不安全的地方是用户自己。
用户只要完成普通登录,就获得操作自己的数据的全部权力,这是极其危险的。
所以一定要引入两步验证。一般的操作,普通登录即可;但对敏感数据的操作,必须二次验证。
二次验证时验密是肯定的,必要时还可以考虑加验安全问题/手机验证码/出生日期等其他信息。
二次验证成功后(允许操作敏感信息)的超时时间,必须比一次验证(用户普通登录)的要短。造成用户即使尚未退出登录,但对敏感信息的操作已经需要重输密码的效果就对了。
二次验证绝对不能有任何的“保存密码”一类的设计。
允许用户在多个浏览器(或多个终端)上同时登录(一次验证)没有问题,但二次验证必须卡死:同一时刻只有一个终端,能够获得二次验证之后的登录权。
终端的识别办法很多。用session识别是最基本的,如果还能记录用户ip那就很安全了。
那么总结一下:

部署二次验证。
二次验证成功后,后台在数据库(或缓存)中记录:用户u,在IP地址为x的y终端上,在z时刻之前对敏感数据有访问权。
对敏感数据的一切操作(上传表单、下载图片、下载文字信息等),后台都要验证xyz是否符合。符合才能放行。
连一次登录都对不上的(登录者根本不是u),阻止就好了。
麻烦的是一次认证正确(登录者确实是用户u),但二次认证信息xyz不符。
此时必须:【一】阻止请求敏感信息 【二】提示客户端重新做二次验证 【三】把数据库中的xyz清除,即只要发现这个用户一切的可疑访问,就认为这个用户有安全风险,把他从二次验证里踢出去。

本文标签

除非注明,文章均为( 老薛 )原创,转载请保留链接: http://www.bdkyr.com/architecture/2272.html

身份证图片访问控制:等您坐沙发呢!

发表评论

9 + 6 = ?


博主微信号,很高兴为您提供帮助

随便看看

为您推荐

0