Foros del Web » Programando para Internet » PHP »

Seguridad de los archivos con clave

Estas en el tema de Seguridad de los archivos con clave en el foro de PHP en Foros del Web. Hace unos dias, probe un script que se llama phpexplorer y me di cuenta que en un servidor que tenga habilitado ssh, se puede ver ...
  #1 (permalink)  
Antiguo 25/02/2005, 13:31
Avatar de walo  
Fecha de Ingreso: mayo-2004
Mensajes: 310
Antigüedad: 13 años, 6 meses
Puntos: 0
Seguridad de los archivos con clave

Hace unos dias, probe un script que se llama phpexplorer y me di cuenta que en un servidor que tenga habilitado ssh, se puede ver todo el disco desde el root.

Obviamente esto no es comun, pero si por lo menos yo pude hacerlo en un servidor, calculo que habra muchos mas.

Esto genera una desconfianza, ya que mucha gente tiene archivos como conectar.php que contienen claves. Con este script y un servidor vulnerable se puede ver el contenido de cualquier archivo, y logicamente la clave.

Lo que propongo es que posten alguna forma de encriptar la clave.

Por ejemplo, lo que yo pense es en ponerle a l base de datos una clave encriptada, y cuando se hace una conexion se encripta la clave para el login. De esta manera no hay forma de ver la clave. Esto se podria hacer usando mcrypt y a su vez un base64_encoder (ya que mcrypt genera un codigo con caracteres especiales).

Alguien sujiere una mejor idea ? pro que mcrypt no es un standard
  #2 (permalink)  
Antiguo 28/02/2005, 06:04
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
mcrypt .. si es un standard .. o por lo menos usa "hash" standars (MD5() y otros) .. se trata de usar una "semilla" para encriptar/desencriptar ..

Ahora .. si tu script ha de "encriptar" y "desencriptar" en el mismo script .. esa "semilla" también estará en el mismo script que puedes "ver" comodamente si accedes al .php concreto desde algún fallo de configuración/seguridad del própio servidor. Por ende este sistema no tendría mucho sentido .. Por supuesto lo puedes complicar como quieras con tu própio algoritmo . .pero al final de todo en el própio script que está el "dato" también estará la lógica que lo desencripta.

Lo más seguro es que uses algún codificador para tu script entero (aplicación) como por ejemplo:

Zend Encoder (www.zend.com).

También tienes "ofuscadores" .. que hacen dificil la lectura del código (no sé exactamente que hace con valores de variables?):

POBS
http://pobs.mywalhalla.net/

No son los únicos .. hay muchos más ..

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:44.