Ограничение интерфейса администратора
Здравствуйте!
Знакомлюсь с технологией, решили выбрать её как основу для корпоративного сайта. Стали возникать вопросы...
Можно ли ограничить администрирование plone-сайта только адресами из локальной подсети?
Перестраховка для безопасности... ведь логин-пароль по http протоколу передаются в незашифрованном виде. Пока не смог найти настройки, где прописывются права на доступ с интерфейсов... пока нашёл тольк настройку порта, на котором работает plone.
Я думаю, что если это и можно сделать, то достаточно сложно. Настройки в plone точно такой нет. В любом случае, у Plone самый лучший security track из распространенных cms . Если нужно шифрование, то погуглите в сторону https и plone. Можно еще посмотреть в код login портлета и жестко проверять откуда пришел клиент при авторизации. Но тогда не очень понятно, как разрулить ситуацию, если допустим нужно не пускать на сайт пользователей только с определенной ролью.
Полезно почитать http://plone.org/documentation/kb/secure-login-without-plain-text-passwords Особенно: IMPORTANT: These tips only apply partially to Plone 3.0 and later versions. The new implementation of passing along login
information on every request is secure by default. The only thing that
is insecure is the initial sending of the username/password from the login form (if you don't do that via https).
