Как скрыть пароль от посторонних
- Автор темы aleks003
- Дата начала
Alexandre
PHPПенсионер
варианты:
- сделай кодовый замок (замени одну кнопку на несколько) - прятать не надо.
- сделай замок на ИК управлении (одна кнопка, которая носится у тебя в кармане, и она генерит несколько последовательностей)
Skubent обоснуй
вот и предлагается модуль! чтоб не было доступа к сырцам (алгоритму формирования и хранения ключа ). И не нужен ни какой ключ на соседнем сервере.
вариант 2 (был предложен выше) - енкодить сами скрипты.
Alexandre
PHPПенсионер
denver доля правды твоего утверждения есть...
но тут нет все так просто, как тебе кажется ...
будет еще одна переменная окружения, которая будет формироваться... из инициализации... пока этот момент еще продумывается.
но без нее привиденый тобой код не сработает.
не скажу что все мелочи я продумал, еще есть узкие места.
но тут нет все так просто, как тебе кажется ...
будет еще одна переменная окружения, которая будет формироваться... из инициализации... пока этот момент еще продумывается.
но без нее привиденый тобой код не сработает.
не скажу что все мелочи я продумал, еще есть узкие места.
kruglov
Новичок
Будем привязываться к hardware как windows? 
Вообще, можно, конечно, pgp-шифровать закрытым ключом, а открытый ключ как-то вычислять из ip-адреса и прочей site-specific ерунды. И тут даже алгоритм прятать не надо, теоретически. Главное, избежать компроментации "site-specific ерунды".
Вообще, можно, конечно, pgp-шифровать закрытым ключом, а открытый ключ как-то вычислять из ip-адреса и прочей site-specific ерунды. И тут даже алгоритм прятать не надо, теоретически. Главное, избежать компроментации "site-specific ерунды".
Skubent
Новичок
Если мы все еще говорим о вебе, то скрипт так или иначе делает что ?
Обрабатывает ввод пользователя (авторизация + что-то еще, сумма платежа к примеру), дергает хранилище данных (БД, платежную систему, иное), вываливает пользователю ответ.
Пароль нам нужен где ? При взаимодействии с хранилищем данных.
То есть если мы где-то в коде говорим "выполнить операцию такую-то с такими-то параметрами", то имея доступ к коду, в котором есть подобный вызов мы можем сгенерировать подобный вызов без предыдущих операций ака проверок.
Ну и посмотреть состояние параметров тоже, естественно.
Если мы разносим проверку пользовательского ввода и запросы к хранилищу данных на два модуля, то модули должны иметь какой-то там интерфейс взаимодействия. Имея доступ к коду, мы видим этот интерфейс и можем его успешно применять.
Вот мы и пришли к системе, у которой внешнего интерфейса нет.
Обрабатывает ввод пользователя (авторизация + что-то еще, сумма платежа к примеру), дергает хранилище данных (БД, платежную систему, иное), вываливает пользователю ответ.
Пароль нам нужен где ? При взаимодействии с хранилищем данных.
То есть если мы где-то в коде говорим "выполнить операцию такую-то с такими-то параметрами", то имея доступ к коду, в котором есть подобный вызов мы можем сгенерировать подобный вызов без предыдущих операций ака проверок.
Ну и посмотреть состояние параметров тоже, естественно.
Если мы разносим проверку пользовательского ввода и запросы к хранилищу данных на два модуля, то модули должны иметь какой-то там интерфейс взаимодействия. Имея доступ к коду, мы видим этот интерфейс и можем его успешно применять.
Вот мы и пришли к системе, у которой внешнего интерфейса нет.
Alexandre
PHPПенсионер
нет...как указал товарищь denver к вызывающему скрипту... ну я вообще-то думаю как привязать к сессии.
Skubent как ты посмотришь, если одна из составляющих привязки является пароль пользователя. Это так сказать составная часть открытого ключа. где хранятся ключи - вычислить можно, но сложно... Это соизмеримо, как ломать софт.
Skubent
Новичок
Alexandre, есть интерфейс соединения с хранилищем, к примеру, с БД.
Делаем всякие обвески на него, зашиваемся с безопасностью, пакуем-энкодим.
Имеем интерфейс вида "Сделать хорошо" с входным параметром вида "супер-ключ" и на выходе - результат операции.
Рядом лежит что-то запакованное-заэнкоденное, которое по набору входных параметров вида логин-пароль генерит "супер-ключ".
Внимание, вопрос - где происходит сопоставление ключей, где они храняться перед тем как супер-скрипт их развернет и засунет в интерфейс хранилища, которое не понимает сильно шифрованных данных или работает по открытому алгоритму ?
Делаем всякие обвески на него, зашиваемся с безопасностью, пакуем-энкодим.
Имеем интерфейс вида "Сделать хорошо" с входным параметром вида "супер-ключ" и на выходе - результат операции.
Рядом лежит что-то запакованное-заэнкоденное, которое по набору входных параметров вида логин-пароль генерит "супер-ключ".
Внимание, вопрос - где происходит сопоставление ключей, где они храняться перед тем как супер-скрипт их развернет и засунет в интерфейс хранилища, которое не понимает сильно шифрованных данных или работает по открытому алгоритму ?