场景
$_COOKIE['key'] 变量存储以保持持久性(因此用户不必在每次页面加载时都输入它)$_COOKIE['key']解密
$_COOKIE['key'] 在浏览器退出时被销毁威胁
Rouge 服务器管理员窥探 PHP 文件,发现密钥存储在 $_COOKIE['key']。他注入了像email_me($_COOKIE['key']); 这样的恶意代码。他在获得密钥后清除了恶意代码。
问题
有没有办法保护自己免受这种情况的影响?
【问题讨论】:
标签: php security encryption cryptography passwords
您可以让服务器管理员更难获取密钥,但他们总是可以。
让我们考虑将加密和解密移动到客户端。现在,服务器将无法获取密钥,因此服务器管理员应该无法解密数据。这并不完全正确,因为服务器管理员可以操纵页面 JavaScript,以便将密钥发送到服务器或根本不加密任何内容。
客户端可以确定服务器管理员无法窃取其数据的唯一方法是使用开源且管理员无法即时更改的客户端软件。因此,网页和自动更新应用程序是不可能的。
【讨论】:
cannot be changed on-the-fly by an admin 如果管理员有 root 权限,这怎么可能?
如果密钥本身是一个问题,您可以使用像 Azure 中的 Keyvault 这样的加密预言机,它永远不会释放其中包含的密钥,而是自己对发送给它们的数据执行加密。
当然,只要管理员可以访问加密预言机,他们就可以访问数据,但之后就不行,而且他们永远不会拥有密钥。这在某些情况下会有所帮助,这就是 Azure Keyvault 等服务的全部意义所在。此外,您无需向所有管理员授予对加密服务的实际访问权限。
另一种缓解措施(检测性控制,而不是预防性控制)是 IT 和应用程序级别的审计日志记录。如果做得好,即使是管理员也无法隐藏他们访问数据的事实,这再次有助于降低一些风险,至少可以提供不可否认性。
您可以做的另一件事是适当的变更管理,控制谁有权访问(尤其是写访问)您的源代码。这对于 PHP 等脚本语言可能会变得很困难,因为您无法真正签署代码,但您仍然可以拥有良好的流程来审查代码并将其发布到生产环境中。
所以说到底,这可能不是一个技术问题,您可以在流程方面做很多事情。
【讨论】: