Security 如果管理员应用程序仅在本地可用，是否需要ColdFusion管理员密码？

我有几个运行ColdFusion 8的Windows 2003 web服务器，其中ColdFusion管理员应用程序作为自己的IIS网站运行，只能通过127.0.0.1（localhost）访问

---

如果只有管理员才能远程访问服务器，那么应用程序中是否需要密码？

有人可能会认为您不需要密码。如果黑客可以远程访问服务器，那么在通过ColdFusion管理员执行任何操作之前，他们也可以轻松地删除IIS网站。也就是说，您可能希望安全起见，并拥有一个密码，以防ColdFusion管理员泄露给外部世界

---

您可以随时对您的站点运行HackMyCF.com，以确保CF管理员确实被锁定。如果您收到消息“您的扫描器说我们的ColdFusion管理员是可公开访问的”，那么遵循这里概述的建议可能是值得的

有人会说你不需要。如果黑客可以远程访问服务器，那么在通过ColdFusion管理员执行任何操作之前，他们也可以轻松地删除IIS网站。也就是说，您可能希望安全起见，并拥有一个密码，以防ColdFusion管理员泄露给外部世界

---

您可以随时对您的站点运行HackMyCF.com，以确保CF管理员确实被锁定。如果您收到消息“您的扫描器说我们的ColdFusion管理员是可公开访问的”，那么遵循这里概述的建议可能是值得的

在我看来，我从来没有真正想到不使用密码的理由。在我看来，我从来没有真正想到不使用密码的理由。请记住，CF管理员的密码不仅保护CF管理员本身，而且还保护管理员API—可以以某种方式利用该API，而无需直接访问服务器。底线…总是为Cf管理员使用密码…总是。而且，在生产机器上，您应该将默认用户从“admin”更改为其他用户。@ScottStroz非常好。这对我来说几乎是敲定了交易。请记住，CF管理员的密码不仅保护CF管理员本身，还保护管理员API——可以通过某种方式利用该API，而无需直接访问服务器。底线…总是为Cf管理员使用密码…总是。而且，在生产机器上，您应该将默认用户从“admin”更改为其他用户。@ScottStroz非常好。这几乎为我敲定了交易。