HTTPS ve şifreli veritabanı gerçekten hosting sabitlenir?

6 Cevap php

I read all posts on HTTP over SSL. So far, I know how to get the data securely in a Web form. But I miss the part of recover and keep the data in the same way. I need in my Website a form to collect sensible data from customers (may be also credit cards numbers for booking, but no credit card authorization process is required) and later keep and read that data in a secure way.

Sonra, temel güvenli bir Web uygulaması için sana ihtiyacım:

SSL Domain doğrulanmış (DV) Sertifikası (I IP adresi sabit olmayan bir) Web sitesi. kullandığım temel) ortak veya "sanal" barındırma hizmeti.

b) basit bir PHP Geliştirme & SSL güvenli klasördeki tüm uygulama PHP dosyaları koyarak müşterilerinin mantıklı veri toplamak MySQL uygulama.

c) Tüm toplanan veriler olacak sunucusu MySQL veritabanında saklanır edilir.

Bu benim mesajın soruları parçasıdır:

Daha sonra normal hoster hizmetleri üzerinden veritabanı bakmak (HTTP) almak phpmyadmin kullanarak girdiğim 1) Eğer, bu güvensiz değil mi?

2) What about the hosting administrators? They could also read all sensible data if I use plain text in the database. But encryption methods for data on the server (not only in transmission over SSL) could be enough? Isn't true that the encryption encoding/decoding method could be intercepted by the hosting administrators?? (consider this: the method is inside the application in the same server). I can't pay the convenience and security of an own server.

Ben bir veritabanı şifreleme için gidersem 3) Bunları göz önüne alındığında, ve onlar gerçek olduğunu varsayarak ... gerçekten önemli?

Ben bir şey kaçırmış ya da ben bazı sorun misinterpreting olabilir.

Teşekkürler yardım ve sabır için çok.

6 Cevap

Bu paylaşılan hosting kredi kartı numaralarını toplama işi gerçekten kadar değil - kendinize onları saklamak bir ödeme ağ geçidi kullanarak bahis ve değildir.

Bu konuda bazı düzenlemeler Bkz: PCI

  1. Evet. HTTP güvensizdir.
  2. Evet, veritabanında düz metin güvensizdir. Şifrelenmiş "güvenli" biraz daha - bu raslantı bakar birisi caydırmak olacak - ama sunucuya erişimi olan herkes de şifreleme / şifre kaldırmayı yapan komut erişimi vardır.
  3. Evet derim. Sizin durumunuzda Şifreleme özel bir saldırganın karşı bir şey yapmayacağım, ancak bazı sysadmin tembel tembel içeri girmeye kasıtlı adım yapmak zorunda kalmadan hemen verilere sahip gelen gezinildikten önlemek edeceğiz

Ben yargı gizlilik yasaları kapsamında özellikle, kredi kartı veya diğer hassas veri depolamak umarım. Paylaşılan bir sunucuda bu tür şeyler saklanması muhtemelen dava alacak. Eğer başka bir şey, bu şekilde kredi kartı veri depolama tüccar hesabı bir ihlali olacak - onlar bunun rüzgar alırsanız, Visa ve MasterCard sizin için kullanılamaz olacak.

1) HTTP üzerinden phpmyadmin ile veri görünce tabii, güvensizdir.

Eğer fiziksel güvenliği yoksa 2) ile ilgili olarak, o zaman belki de) şifrelemek ve barındırma sitesi dışında şifresini şifreli veri depolama haricinde herhangi bir güvenlik (olamaz.

Barındırma şirketi bilgisayara erişimi olduğu gibi, tüm verilerinizi okuyabilir.

(that kendi iş çünkü) benim deneyim barındırma sağlayıcıları hemen hemen aynı şekilde bankaların iş, bunu ve verilerinizi güvende tutmak için deneyin olmaz, söyledikten sonra para tutmak için çalışmaktır sizin için ve onu korumak ve onu alarak değil.

Eğer yedeklerini tutmak sadece 3) veritabanı şifreleme için gidin. Canlı sürümünü çalıştıran için biraz daha fazla güvenlik sağlar (hiç değilse) ve işler daha hantal hale getirir.

  1. Öyle.

  2. Onlar olabilir.

  3. Gerçekten ama yine de iyi bir fikir olabilir. Birisi veritabanı tutmak ve PHP kaynak kodu değil alabilir. Sonra veritabanında şifreleme iyi bir şey olurdu.

Sen doğru. Emin olmak için tek yolu kendi sunucusu çalıştırmak için. Ayrıca Payment Card Industry Data GüvenlikStandard bilmelidir.

Ben bobince tamamen doğru olduğunu düşünüyorum. Genel anahtar kripto size yardımcı ama verileri görüntülemek için PHPMyAdmin kullanarak gevşek konfor unutmayın - Eğer tarafta yerde şifresi gerekir çöp göreceksiniz. http://www.php.net/openssl PHP ve açık anahtar kripto hakkında daha fazla bilgi için bkz.

Tamamen sunucu üzerinde bir şifreleme / şifre çözme işlemi olması, şüpheli olarak, sadece kandırma ve kendi içinde güvenli değildir. Bir saldırganın kazançlar (genellikle bir SQL enjeksiyon deliğinden) veritabanına erişim ancak site komut okumak veya rasgele kod çalıştırmak için hiçbir yeteneği okumak kısmi uzlaşma, vakalarında yardımcı olabilir.

Sadece sunucu geri okumak mümkün gerekmez ki (kanonik kredi kartı numaraları) hassas verileri yazmak gerekiyorsa, yapabileceğiniz genel anahtar şifrelemesi ile bu. Genel anahtarı ile verileri şifrelemek, sonra sadece karşılık gelen özel anahtarı vardır bir bilinen güvenli makinede okudum. Bu komut okunabilir büyük bir uzlaşma durumunda geçmiş verileri korur ve komut bir saldırgan yazma erişim, onlar en azından sadece eski şeyler yeni gelen veri sızan olsun, değil durumda. Umarım bu sana saldırı tespit ve yeniden inşa etmek için zaman verecek.

Şifreleme kodlama / kod çözme yöntemi hosting yöneticileri tarafından ele geçirilebilir olduğu doğru değil mi?

Evet. Ama sonra ana makineye fiziksel erişimi var, bu yüzden gerçekten isteseydi webapp, günden itibaren anında yapıyordu her şeyi ele üzerinde bir rootkit patlama olabilir. Orada ev sahibi güvenen etrafında yolu yok, bu yüzden saygın birini seçmek ve paylaşılan sunucularında hassas sistemleri çalışmaz.

etiketler