我是否应该将我的服务器托管在与我的网站相同的域名下?

我是否应该将我的服务器托管在与我的网站相同的域名下?

在迁移到新数据中心时,我们还想清除现在认为错误的旧设计决策。我们不太确定的是,将我们的开发和测试服务器放在同一个域 example.net 下,将我们的网页放在 example.com 下。

一方面,这可以防止一些不太坚定的攻击者猜测开发服务器的主机名,但另一方面它会让用户感到困惑。

您认为这种通过隐蔽性来保证安全性的做法是否真的有用,是否值得让一些用户一开始感到困惑?您如何处理这个问题?

答案1

如果您做出的改变使攻击者更难猜测在哪里攻击您,同时给用户带来困惑,我预计整体安全性会下降。

攻击者将会弄清楚您的命名约定,这对他们来说可能只是道路上的一个小障碍。

另一方面,用户的困惑会导致更多错误。而用户的错误会让你更容易受到社会工程、网络钓鱼等攻击。

然而,域名分离可以带来安全优势还有其他原因:

  • SSL 证书的有效范围
  • Cookie 和脚本的同源策略
  • DNS 搜索路径
  • Web 代理自动检测

如果您正在开发 Web 应用程序,则需要研究每个领域,以了解您选择的域名对安全性意味着什么。

相关内容