حيث يجب أن يتم متجر واحد مفتاح تشفير عند استخدام تشفير AES مع PHP؟
https://stackoverflow.com/questions/2210011
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أقوم بتنفيذ enclplytion AES-256 بت في تطبيق الويب الخاص بي:
http://www.utoxin.name/2009/07/automatic-db-field-en-cakephphp/
تقول إحدى الخطوات لتخزين الشفرات المستخدمة والمفتاح في ملف Boostrap. ولكن ما هو إيقاف شخص من مسح نظام الملفات مع PS أو شيء وفزت البيانات؟
ما هي أفضل طريقة لتأمين البيانات؟
المحلول
إذا كان لدى شخص ما الوصول إلى جميع الملفات الموجودة على القرص الصلب لخادمك، فكل الرهانات متوقفة. لا توجد طريقة يمكنك حماية بياناتك بعد ذلك، لأن WebApp الخاص بك لا يزال يجب أن يكون قادرا على الوصول إليه.
لن يحميك هذا التشفير فقط من المهاجمين الذين يمكنهم الوصول إلى قاعدة البيانات، ولكن ليس نظام الملفات، على سبيل المثال من خلال حقن SQL. وحتى في هذه الحالة قد يتمكنوا من قراءة البيانات: اعتمادا على التسرب الخاص، قد يقوم WebApp بفك تشفيره بسعادة لهم!
نصائح أخرى
(أدرك أن هذا سؤال قديم، ولكن كمؤلف من وظيفة المدونة المرتبطة، أردت إضافة بعض التعليقات)
ما يقوله الإجابة المقبولة هو كل شيء صحيح. بمجرد التنصيب على نظام الملفات، لا توجد حماية. أيضا، نعم، إذا كانت مكتوبة بشكل سيء من الممكن عرض البيانات في شكل غير مشفر. كان من المفترض أن توفر هذه الأداة مجرد وسيلة لجعلها أسهل بكثير التعامل مع تشفير البيانات في قاعدة البيانات. إذا كنت لا تحب وظيفة فك التشفير التلقائي، فستكون تافهة لإزالة رد الفعل بعد ذلك () على السلوك بحيث لم تعد مشغلات، بالإضافة إلى أي عدد من التعديلات الأخرى التي يمكن أن تحسن الأمان (بتكلفة السهولة أو الراحة).
آمل أن يساعد هذا أي شخص آخر يتعثر عبر هذا المنصب. شخص ما لديه، منذ أن حصلت على زوجين فقط مدونتي من هذا السؤال. :)
في صندوق UNIX، يمكنك تخزينه في ملف، تم إنشاؤه بواسطة حساب المستخدم ل Apache، مع تصاريح 0600. يمكن الوصول إلى ذلك بواسطة الجذر، لذلك إذا كان المربع آمن، فلا توجد مشكلة. في صناديق Windows، لا أعرف.
