이 있 PHP 보안 프레임워크를 보호하는 전화 번호뿐만 아니라 암호?
https://stackoverflow.com/questions/120977
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
내가 이해를"지 않는 자신의 롤"에 올 때 그 사이트의 보안 프레임워크.
대부분의 경우에는 어쨌든.
나는 협력하여 사이트에 통합되는 텍스트 메시지로 시스템입니다.
내가 사용하려면 기존의 잘 테스트 보안 프레임워크 사용자를 보호하기 위해 데이터를,그러나 나는 그것을 필요도를 보호하는 사용자가 전화 번호뿐만 아니라.
I wouldn't want to be the one 책임에 대한 목록의 사용자가 휴대 전화 번호를 얻기 뇌파와 스팸.
어떤 제안할 수 있습 커뮤니티에 제공합니까?
해결책
암호에 적용되는 기술은 여기에 적용되지 않습니다. 비밀번호 소금에 절인 및 해시를 저장할 수 있지만 (그렇게하는 가치는 분쟁 될 수 있지만) 전화 번호에는 효과가 없습니다.
누군가가 당신의 서버를 잭을 일으키면 서버가 할 수있는 모든 것을 수행 할 수 있습니다. 여기에는 전화 번호 복구가 포함되어야하지만 해시가 잘 된 경우 비밀번호 복구는 포함되지 않습니다. 따라서 전화 번호는 기밀 데이터를 보호하는 특별한 경우 일뿐입니다.
전화 번호가 앱에서 진정으로 민감한 데이터라면 텍스트를 보내는 앱의 일부를 벽으로 볼 수 있고 전화 번호를 비대칭 적으로 암호화 할 수 있습니다. 다른 프로세스 (또는 다른 기계에서)에서 전화 번호를 해독하는 열쇠가있는 앱을 실행합니다. 이 앱의 인터페이스에는 암호화되지 않은 NO와 보내는 메시지가 하나 일 수 있습니다. 이 앱을 간단하게 유지하고 코골이를 테스트하고 감사하십시오. 외부 세계에서 숨기거나 인증을 사용하여 요청이 주 앱 또는 둘 다에서 나온 것을 증명하십시오.
앱의 DB 나 기본 부분은 전화 번호를 해독 할 수 없습니다 (예 : 검색 할 수는 없습니다). 그러나 DB에 추가하기 위해 암호화 할 수 있습니다.
일반적인 기술을 "권한 분리"라고하며, 위는 하나의 예일뿐입니다.
전화 번호는 일반적으로 암호화 전에 무작위 데이터로 패딩해야합니다 (해시 암호를 소금하는 것과 같이). 그렇지 않으면 개인 키를 알지 못하고 "암호화 된 전화 번호 X입니까?"라는 질문에 답할 수 있습니다. 유통 목록을 훔치는 스패머의 POV에서 문제가되지 않을 수도 있지만, 무차별 인력 공격이 가능해지기 때문에 전화 번호가 안전하게 저장된다고 주장하는 것은 문제입니다. 전화 번호, 주어진 사용자를 위해 대량으로 좁힐 수 있습니다.
죄송합니다 이것은 귀하의 질문에 직접 답변하지 않습니다. PHP 프레임 워크가 있는지 여부는 권한 분리를 구현하는 데 도움이 될 것인지 모르겠습니다.
추가 편집 : 사실, '특권 앱을 간단하게 유지하는'제목 아래 프레임 워크를 전혀 사용하고 싶지 않을 수도 있습니다. 프레임 워크 저자가 훨씬 더 큰 (그러나 더 널리 사용되는) 코드의 양에 버그를 남긴 것보다 실제로 필요한 소량의 코드에 버그를 남기지 않을 것이라고 생각하는지 여부에 따라 다릅니다. VE 작성. 그러나 그것은 큰 단순화입니다.
다른 팁
해야 하므로 검색할 수 있 전화번호,수있는 유일한 방법은 당신이 정말로 그들을 보호하기 위해(정상적인 일들을 할 것입을 보호하기 db)를 암호화합니다.즉,당신은 당신이 필요하다:
- 는지 확인 키 없이 누출을 때 당신은 실수로 누출 데이터베이스 덤프.
- 는지 확인하는 시스템 없이 유용하게 해독하의 전화 번호 때 누군가를 관리하는 SQL 을 주입하는 시스템입니다.
물론 추천의지도 않고 자신의 여전히 적용,AES 를 사용하거나 다른 존경받는 암호화 합리적인 키 길이 있습니다.
PHP 용 구멍 보안 시스템의 출시를 발표하게되어 기쁩니다.
이 프로젝트는 Spring Security가 Spring을위한 Spring Security에 의해 Java에서 제공하는 보안의 종류를 PHP에 가져 오는 것입니다. 철학이 동일하기 때문에 Spring Security 사용자에게 매력적으로 설계되었습니다. PHP 사이트에 보안을 추가하는 것은 눈에 띄지 않는 방법입니다. 이 구성은 스프링 보안을 사용하여 스프링 IOC/DI를 사용하여 기판 IOC/DI를 사용하여 이루어집니다.
프레임 워크가있는 예제 구성 하의 예제 : 다음과 같이 사용할 수 있습니다.
$context = new substrate_Context(
'./path/to/hole-security/hole-security-config.php'
);
$context->execute();
$hole_Security = $context->get('hole_FilterChainProxy' );
$hole_Security->doFilter();
프레임 워크의 부트 스트랩 코드가 선택한 MVC의 부트 스트랩 전에 실행되는지 확인하십시오.
웹 사이트 :http://code.google.com/p/hole-security/
문서 : 현재 스프링 보안에 대한 참조 문서를 사용할 수 있습니다. Hole-Security는 동일한 구성 방식을 사용하기 때문에 ACEGI 보안 참조 문서를 사용하여 일반적인 아이디어를 얻을 수 있지만 스프링 보안을 기반으로한다는 점을 명심하십시오.
라이센스 : Apache 라이센스 버전 2.0에 따라 릴리스되었습니다.
특징 : Hole-Security는 환경의 보안 요구 사항을 채택 할 수있는 플러그 가능한 보안 시스템을 제공합니다. 현재 첫 번째 릴리스에 있기 때문에 매우 간단한 보안 시스템이 있지만 기본 재단으로 프로젝트에 추가 할 새로운 기능을 제안하거나 요청할 수 있습니다.
현재 기능 :
개념 증명으로서 Memory DAO 인증에서 데이터베이스에서 또는 저장 한 곳에서 사용자 데이터를 얻는 선호하는 DAO 또는 구현으로 전환 할 수 있습니다. 선물 릴리스에서 PDO 기반 구현이 만들어집니다.
URL 패턴에 적용 할 수 있도록 구성된 필터. URL 경로 매칭은 현재 개미 스타일 경로 매칭 자와 함께 배송 할 수 있습니다.
권한 부여 관리자는 응용 프로그램에서 무언가를하는 곳 또는없는 곳을 결정하는 데 사용하여 항상 기판 컨텍스트에서 참조를 얻을 수 있습니다.
HOLE_HTTPSESSIONCONTEXTINGEGRATEGLET가 적용된 경우 응용 프로그램의 모든 코드에서 액세스 할 수있는 공유 보안 컨텍스트. 이 컨텍스트를 사용하여 세션 객체를 직접 사용하지 않고 세션과 관련된 정보를 저장할 수 있습니다.
사용자 정의 로그인 페이지를 사용하여 HOLE_AUTHENTICATIONPCESSINGFILTER 구성에 따라 사용자 정의하거나 사용자 정의 로그인 페이지에 따라 HOLE_AUTHENTICATIONPCESSINGFILTER 사용자 정의 할 수 있습니다.
기본 비밀번호 인코더는 인코딩없이 일반 텍스트입니다. 선물 릴리스에는 MD5, SHA 기반, Base64 및 기타 관련 인코딩에 대한 구현이 있습니다. 자신만의 암호 인코더를 만들고 구성 할 수 있습니다.
모든 객체가 필요에 따라로드됩니다. 필터와 같은 것이 요청에 사용되지 않으면로드되지 않습니다. 이는 응용 프로그램의 성능을 증가시킵니다. 구멍 보안과 관련된 다른 기능이 있습니다.
