הצפת משתנה בphp - עמוד 2 - הוסטס

**IgalSt** · 15-05-13, 21:52

ציטוט:

נכתב במקור על ידי אדיר

להגיד לך שזה בטוח? זה לא.
אבל זה בטח טוב יותר מאשר לשמור את זה כ- plain text.

לפי מה שאני מבין הבעיה היא לא בשמירה של המידע (שאני מניח שהשמירה שלו מאובטחת) אלא שליחתו ל-API חיצוני שלא יכולה להעשות בצורה אחרת פרט ל-POST עם סיסמה חשופה.

אדיר · 15-05-13, 22:10

המידע מאובטח עד שמישהו מוכיח אחרת

.

אני מניח שהבעיה יכולה להתקיים ב- 2 הצדדים:
אתה אף פעם לא יכול לדעת מי חוץ ממך עוד רואה את הקבצים או השיג גישה למסד הנתונים - ההצפנה הזו מכסה (לא בדיוק, אבל נגיד) מקרים של חדירה למסד הנתונים, קבצי האתר ומערכת הקבצים בשרת.
וכן אי אפשר גם להבטיח שאף אחד לא מאזין למידע שנכנס ויוצא מהשרת - ככה שבמקרים מסויימים שבהם זה כדאי (כמו כאן) רצוי לשלב SSL אם יש תמיכה בכך מצד ספק השירות.

אבל בעניין ה- API עצמו זה כבר ליקוי בשירות שהוא עובד מולו (בהנחה וככה באמת עושים את זה).
השירות צריך לספק איזשהו secret key לכל משתמש שבאמצעותו הוא מזהה אותו, הלקוח לא אמור להתממשק לשירות עם שם המשתמש והסיסמא שלו.

15-05-13, 22:10	# 12
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	המידע מאובטח עד שמישהו מוכיח אחרת . אני מניח שהבעיה יכולה להתקיים ב- 2 הצדדים: אתה אף פעם לא יכול לדעת מי חוץ ממך עוד רואה את הקבצים או השיג גישה למסד הנתונים - ההצפנה הזו מכסה (לא בדיוק, אבל נגיד) מקרים של חדירה למסד הנתונים, קבצי האתר ומערכת הקבצים בשרת. וכן אי אפשר גם להבטיח שאף אחד לא מאזין למידע שנכנס ויוצא מהשרת - ככה שבמקרים מסויימים שבהם זה כדאי (כמו כאן) רצוי לשלב SSL אם יש תמיכה בכך מצד ספק השירות. אבל בעניין ה- API עצמו זה כבר ליקוי בשירות שהוא עובד מולו (בהנחה וככה באמת עושים את זה). השירות צריך לספק איזשהו secret key לכל משתמש שבאמצעותו הוא מזהה אותו, הלקוח לא אמור להתממשק לשירות עם שם המשתמש והסיסמא שלו. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות Last edited by אדיר; 15-05-13 at 22:20..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)