Ausführen einer Webseite von einer verschlüsselten Partition
https://stackoverflow.com/questions/1856064
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich betrachte die Möglichkeit, eine PHP-basierte Website des Laufens (gebaut in symfony) aus einer verschlüsselten Partition auf einem LAMP-Server. Der Grund dafür ist, dass ein Client Zugriff auf den Server haben würde, aber ich will mich nicht den Quellcode hinter der PHP-Website sehen.
Ich bin offen für andere Lösungen, wenn dies nicht möglich ist. möglicherweise Zum Beispiel läuft die Website von einer virtuellen Maschine Instanz, die leicht zugegriffen werden kann nicht.
Ich bin kein großer Fan von einfach den Code verschleiern, weil nach anderen Beiträgen, kann es leicht rückgängig gemacht werden.
Ist es möglich, eine PHP-Anwendung in einer Umgebung ausgeführt werden, die nicht von Menschen zugänglich / lesbar ist?
Lösung
Ich sehe nicht, wie eine verschlüsselte Partition hier helfen wird, wie der Web-Server Zugriff auf sie benötigt, und jemand mit Zugriff auf die Maschine weiß, wie das nutzen.
Eine virtuelle Maschine wird wahrscheinlich die einfachste Sache zu sichern, da Sie Webseiten dienen können, aber Dateisystem / RDP Zugriff darauf beschränken.
Es gibt auch zuverlässige Verschleierungs / Vorkompilierung Lösungen auf dem Markt. Mit letzterem können Sie Bytecode verteilen, die auch optimiert Geschwindigkeit, die ein Argument für die Kunden zu präsentieren.
Andere Tipps
Wenn der Feind physischen Zugriff auf das Gerät hat, haben Sie bereits verloren; es ist sicherlich möglich, dass sie den Quellcode zu erhalten. Verschlüsselung in einer virtuellen Maschine könnte es ein wenig schwieriger, aber sie können immer das Speicherabbild, dann verwenden Sie beschriebenen Techniken von J. Halderman et al die Schlüssel zu extrahieren. Ff es ist nur eine verschlüsselte Partition (kein VM), es montiert werden wird und leicht zugänglich. Also nein, es sei denn, Sie die physische Maschine zu steuern, können Sie nicht sichern vor Angriffen durch den Administrator der Maschine, unabhängig davon, ob es verschlüsselt wird.
Der Grund dafür ist, dass ein Client würde Zugriff auf den Server haben aber ich will sie nicht das sehen Quellcode hinter der PHP-Website.
Müll. Wie finden Sie eine Web-Site mit Quellcode komplett versteckt laufen? Apache muss es mit PHP, um Ihre Website zu verarbeiten aufgedeckt zu arbeiten.
