¿Cómo podría crear un sitio web totalmente seguro protegido con contraseña?

“totalmente seguro” no es posible.

Puede hacerlo para que el contenido esté encriptado y solo aquellos que tienen el proceso de descifrado puedan leerlo / comprenderlo.

Sin embargo, esto sería algo bastante difícil para la mayoría de las personas (especialmente para alguien que pregunta cómo hacerlo). Por lo tanto, compartir este contenido con otras personas que no sean de seguridad sería un desafío técnico.

Sugeriría un compromiso de “seguridad absoluta” con “probablemente bastante difícil de descifrar pero aún utilizable”:

Configure un servidor con un disco encriptado. De esta manera, si el servidor está físicamente comprometido, los datos no lo están.

Cortafuegos y parchear el servidor. Mantener actualizaciones de forma regular. Cortafuegos de los hosts permitidos y negar a todos los demás. Nadie debería poder acceder al ssh, excepto las personas que desea ver el contenido. A nadie se le debe permitir acceder a apache / puerto 80, ya que forzará el acceso solo a través del túnel ssh y luego obtendrán la ip del túnel. Entonces, esa es la única ip (el servidor en sí) que necesita poder ver el puerto 80 (apache)

Haga otras cosas en línea con la seguridad del servidor, como verificar sumas de verificación en binarios, registrar intentos de intrusión, bloquear intentos de pirateo, etc.

No ejecute otros servicios en el servidor como php, mysql, etc. Simplemente ejecute apache para que pueda servir las páginas.

No tiene ninguna forma de ingresar al servidor además de SSH. Use claves en lugar de contraseñas. No le dé a nadie más una cuenta de shell, pero sí permítales el túnel VPN o SSH.

Cifre el tráfico con HTTPS pero envíelo por el túnel. Puede limitar apache para que solo muestre contenido a ciertas IP. Limítelo al servidor mismo, luego haga que todos los que tengan acceso usen el túnel para verlo (como a través de un proxy de calcetines)

HTTPS solo generalmente se considera seguro, pero en realidad es trivial fingir a un hombre en el medio.

Las SSH / VPN son mucho más difíciles de romper, pero no imposibles. Excepto por una hazaña o por engañarte para que le des acceso a alguien (ingeniería social, keylogger, etc.), no sé cómo se han descifrado, si es que alguna vez.

Use htdigest para solicitar una contraseña en el contenido. Esta es una forma cifrada de la contraseña / hash y es difícil de descifrar, excepto por hash / exploits de fuerza bruta.

Si fuera paranoico adicional, podría cifrar los datos dentro de otros datos (como los datos dentro de un jpg). También puede publicar una versión encriptada de los datos como un archivo de texto encriptado que descargan. Esto es mucho trabajo extra y gastos generales que la mayoría de las personas no sabrán cómo usar realmente.

Asegúrese de proteger su PC también: inicie sesión desde un CD en vivo solo en computadoras conocidas. El CD en vivo no debe tener datos persistentes, pero debe tener la clave ssh, y debe verificar que no haya keyloggers de hardware en la máquina host. Hay algunos que se pueden conectar al usb donde va el teclado y luego los datos se pueden ver más tarde para encontrar contraseñas. Los archivos temporales en la unidad pueden estar sin cifrar, por lo tanto, cifre toda la unidad y trabaje solo en la RAM.

Entonces, en teoría, harías algo como lo anterior para obtener un contenido bastante seguro.

Está encriptado en el disco (vs acceso físico)

El sistema operativo es seguro (frente a exploits)

La aplicación tiene firewall (conceptos básicos de seguridad de la aplicación)

Los datos de tránsito se cifran a través del túnel ssh / vpn (frente a la inspección de la red)

El contenido es nuevamente encriptado por acceso (contraseñas htdigest y control de acceso de usuario)

De todos modos, así es como lo haría si estuviera tratando de ocultar algo. Por cierto…. Qué estás escondiendo ? 🙂

Related Content

¿Quién suministra el software y hardware para el programa de monitoreo de correo electrónico de la NSA?

¿Cuál es la mejor manera de almacenar contraseñas para las personas que desean hacerlo?

¿Las contraseñas de las bases de datos famosas son realmente seguras o los gobiernos / agencias pueden abrirlas fácilmente?

¿Cómo usamos antivirus gratis para lappy?

Cómo encontrar temas / materias para el proyecto de la Feria de Ciencias sobre seguridad cibernética

More Interesting

¿Cuáles son las contraseñas o contraseñas de varias palabras más seguras hechas con una combinación de letras, números y símbolos?

¿Cómo manejaría la seguridad del punto final de la red?

¿Cómo manejaría los ataques de fuerza bruta?

¿Es seguro Pushbullet?

Cómo saber si tu iPod tiene un virus

¿Cómo se puede aplicar el procesamiento del lenguaje natural (PNL) en Cyber ​​Security?

Cómo estar protegido y ser anónimo en la red

Si quería seguir una carrera en ciberseguridad, ¿necesito saber cómo hackear computadoras personales o algo completamente diferente para demostrar que no voy a abusar de mi posición?

Mi computadora portátil me pidió que comenzara la reparación del servicio de Windows y restauró el sistema a un lugar cuando era mejor. Ahora creo que la contraseña de Windows cambia automáticamente a la misma en ese momento. ¿Qué debería hacer ahora?

¿Por qué DKIM requiere tres claves de dominio en el DNS?

Si el uso de contraseñas se hiciera ilegal mañana, ¿qué métodos de autenticación alternativos crearían los sitios web grandes o se cerrarían?

El sitio de mi cliente fue pirateado y no tengo una copia de seguridad de su sitio WP. Me ha estado llamando durante 3 días pero no pudo responder. ¿Qué le puedo decir?

¿Por qué la quinta enmienda de EE. UU. Faculta a la policía para obligar a una persona a desbloquear su teléfono si está protegido con huella digital pero no si está protegido con contraseña?

Cómo manejar las contraseñas cuando caducan con frecuencia, pidiéndole que establezca una nueva

¿Cuál es el mejor libro para leer para ser un buen administrador de sistemas Linux para un usuario normal de Linux?