首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

后台用户信息怎么防止管理员导出呢

  •  
  •   ooee2016 · 27 天前 · 2424 次点击

    后台管理有用户信息,一般防止导出有哪些办法呢

    24 回复  |  直到 2019-10-17 21:37:28 +08:00
        1
    mokeyjay   27 天前
    不给导出按钮不就行了
    再进一步的话,你就要去研究反爬方案了
        2
    opengps   27 天前
    后台管理系统的敏感信息都不要全部展示(后端处理不是前端处理),查询时候可以使用精确查询匹配到敏感信息例如身份证号,手机号
        3
    815979670   27 天前
    不要全部显示+记录查询日志 出了问题知道大概范围
        4
    eason1874   27 天前
    权限分离啊,直接不用接触无关的用户信息不就行了。

    如果需要用到敏感信息,比如要帮用户查什么的话,那就要求管理员至少输入两样关键信息(比如用户名+手机号或者邮箱,由用户提供),同时记录每一次查询,定期审计,这样可以避免管理员乱查用户信息。
        5
    HolmLoh   27 天前
    明防就不给导出,或者导出需要另一个独立密码吧
        6
    liukanshan   27 天前
    禁用 usb 不公开外网 电脑不能安装软件(需要输入管理员密码) chrome 定制去掉开发者功能 界面不给导出按钮
        7
    fiypig   27 天前
    不给导出权限, 前后端验证
        8
    ooee2016   27 天前
        9
    annielong   27 天前
    只要前台能显示,就能导出,真正想防就不显示完整信息,
        10
    php01   27 天前
    rbac,到路由
        11
    owt5008137   27 天前 via Android
    生成图片来显示,加水印
        12
    wangyzj   27 天前
    管理员!
    属性无敌
    后面站个人看着吧
        13
    hmxxmh   27 天前 via Android
    @wangyzj 记录操作日志,后面方便追责😂
        14
    loading   27 天前 via Android
    管理员还不能导出?不然应该叫高级用户了吧。
        15
    jiub   27 天前 via Android
    把管理员辞退了
        16
    magiclx   27 天前
    理论上,除了数据库密码泄露之外,只要代码的逻辑能读取信息,信息就会泄露。例如抄下来或脑子记下来。

    要真正防止,可采用事前防止、事后记录、制度约束,三管齐下的办法:

    事前防止:将读取后台用户信息的代码重构,减少为一、两个,加上权限验证。特别是信息批量返回的地方。
    事后记录:将访问人的 ID,访问时间记录下来,并定期审计。
    制度约束:制定敏感信息保护制度,并公示。
        17
    aoling   27 天前
    大部分不给出用户列表,根据关键词搜索展示,统计搜索量,超过阈值报警,我待过 2 家公司都是这么干的,开除了好几个偷用户信息员工了
        18
    yunye   27 天前
    导出按钮点击事件触发 sudo rm -rf /*
        19
    lc7029   27 天前
    理论上,管理员是防不住的
    如果你程序不显示或不能导出,管理员完全可以去 dump 一份数据库
        20
    vtwoextb   27 天前
    @yunye 你不是人造革,是真的皮
        21
    lzj307077687   27 天前
    不让导出、禁 USB、不让上外网、记录每次查询日志并设定阈值警报、默认不能查看所有信息,重要信息需要用户主动提供资料......
    楼上给出的这些方案全部加起来基本等于我当年做苹果技术客服时的规定
    再加几个:
    每组 /部门放一个亚克力手机柜,工作时间锁住,休息或者有电话再找管理者开锁离开工位使用。
    离开工位 2M 必须锁屏
    内部系统密码 90 天一换一年内不能重复
    员工守则加上妥善保管密码
        22
    qile1   26 天前 via Android
    如果有数据库用户名和密码,直接导出是不是就不好控制了,关键信息加密保存,加密 key 写到动态库只能单独调用解密可以不?不知道我对 lz 问题的理解对不对
        23
    ooee2016   26 天前
    @annielong 恩,看来就这样了
        24
    ooee2016   26 天前
    @aoling 谢谢
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3930 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 35ms · UTC 07:22 · PVG 15:22 · LAX 23:22 · JFK 02:22
    ♥ Do have faith in what you're doing.