Dove si trova il posto più sicuro per memorizzare codice sensibile su un server (es. Php di autorizzazione, script di contatto, javascript sensibile o protetto)?posto sicuro dove salvare il codice
Ragazzi e ragazze avete qualche consiglio o consiglio su come proteggere questo tipo di cose?
È possibile utilizzare .htaccess per interrompere l'accesso remoto agli script PHP (ovviamente, sarà ancora possibile accedervi localmente con l'inclusione sul lato server). Presumo che i tuoi script di contatto siano anche script PHP. Possono essere gestiti anche in questo modo. Ad ogni modo, se PHP funziona sul tuo server, anche se un utente conoscesse la posizione di un file PHP, non sarebbe comunque in grado di vedere il codice sorgente. Ciò impedisce solo determinate esecuzioni non autorizzate.
Per quanto riguarda Javascript sensibile o protetto, è possibile utilizzare un compressore JS come this per offuscare il codice, ma poiché JS è eseguito lato client, l'utente sarà in grado di vedere qualsiasi codice sorgente gli si fornisca.
Buona idea con il .htaccess, mi diverto con quell'idea. Grazie! – justin
L'offuscamento è sicuramente l'unico modo per proteggere il tuo js. –
Alcune osservazioni
Il problema che ho è che, al fine di uso qualsiasi di questo codice, ha bisogno di essere leggibile da qualsiasi processo sta usando (in genere il server web). Solo questo fatto rende davvero poco pratico ottenere una maggiore sicurezza, a meno che non si possa ricorrere a qualche tipo di elaborazione offline accodata.
Regola # 1 - tenerlo fuori dalla DocumentRoot (a meno che non dovrebbe essere lì)
Regola # 2 - eseguire il proprio server (o VPS), e tenere le altre persone fuori di esso
regola N. 3 - bloccare la scatola verso il basso - porta 22 (da IP specifici) e 80/443 da globale
PS. JavaScript viene eseguito nel browser Web - non c'è molto che si possa fare per proteggerlo (oltre che oscurarlo), né dovrebbe essere necessario (ad esempio, NON fidarsi dei dati esterni è la regola n. 0).
Un'altra tattica consiste nel memorizzare tali script PHP sopra la cartella Web pubblica. I tuoi script possono ancora accedervi. Lo uso spesso per i dati che desidero rendere disponibili agli utenti registrati per il download. Devo fare uno script in modo specifico per recuperare e inviare loro i dati, quando è necessario, ma nessuno può accedere a quei dati a meno che non abbiano effettuato l'accesso e lo script li invii loro.
Con i tuoi script, è ancora più semplice: non puoi creare un mezzo per accedervi. I tuoi script possono includerli, ovviamente, e usare .htaccess per controllare l'accesso è un altro passo utile.
Di che cosa parla questa "ragazza"? – Hello71