PHP信息保護(hù)安全性討論

SATAND

議題：

有一個(gè)數(shù)據(jù)庫(kù)，記錄了加密的信息

只有一個(gè)密鑰，由客戶(hù)持有，每次檢索輸入一次，提交至php處理解密

假設(shè)該處理頁(yè)面代碼公開(kāi)，不會(huì)將該密鑰轉(zhuǎn)存，并由代碼內(nèi)嵌的防火墻監(jiān)控

假設(shè)客戶(hù)至服務(wù)器的途徑是安全的

那么，這個(gè)密鑰會(huì)不會(huì)被獲得？

可能：

通過(guò)內(nèi)存取數(shù)——在php執(zhí)行腳本的時(shí)候，從內(nèi)存中獲得——請(qǐng)幫忙討論該過(guò)程的可能性

北京野狼

原帖由 "SATAND" 發(fā)表：
議題：

有一個(gè)數(shù)據(jù)庫(kù)，記錄了加密的信息

只有一個(gè)密鑰，由客戶(hù)持有，每次檢索輸入一次，提交至php處理解密

假設(shè)該處理頁(yè)面代碼公開(kāi)，不會(huì)將該密鑰轉(zhuǎn)存，并由代碼內(nèi)嵌的防火墻監(jiān)控

假設(shè)客戶(hù)至服務(wù)器的途?.........

你的意思你就在服務(wù)器上？如果php程序是公開(kāi)的，那解密算法不就公開(kāi)了？

SATAND

解密算法用DES或者AES，這兩種算法都不是基于算法保密的，而是基于密鑰保密的

北京野狼

[quote]原帖由 "SATAND"]解密算法用DES或者AES，這兩種算法都不是基于算法保密的，而是基于密鑰保密的[/quote 發(fā)表：




我想他終究得輸入密鑰，apache什么都能知道。至少你要是改一下把他整個(gè)session都記錄下來(lái)，
那他傳上來(lái)的所有信息包括密鑰你就都知道了。我是沒(méi)改過(guò)apache

北京野狼

[quote]原帖由 "SATAND"]解密算法用DES或者AES，這兩種算法都不是基于算法保密的，而是基于密鑰保密的[/quote 發(fā)表：


其實(shí)有個(gè)更簡(jiǎn)單的辦法。你有php代碼。把代碼改一下，
記錄下用戶(hù)的session和url變量到日志里面

你查下日志就知道、他的密鑰了

SATAND

我的思路是，有一部服務(wù)器，要確保客戶(hù)的安全
apache和php都用安全程序，不做任何后門(mén)，并有代碼內(nèi)嵌式防火墻監(jiān)控，保證這些程序不被替換

只能增加進(jìn)程來(lái)進(jìn)行側(cè)面的探測(cè)，通過(guò)第三方代碼來(lái)獲得需要的東西
問(wèn)：我能不能從內(nèi)存中把PHP腳本執(zhí)行過(guò)程中用的變量讀取出來(lái)

北京野狼

原帖由 "SATAND" 發(fā)表：
我的思路是，有一部服務(wù)器，要確�？蛻�(hù)的安全
apache和php都用安全程序，不做任何后門(mén)，并有代碼內(nèi)嵌式防火墻監(jiān)控，保證這些程序不被替換

只能增加進(jìn)程來(lái)進(jìn)行側(cè)面的探測(cè)，通過(guò)第三方代碼來(lái)獲得需要的東西
問(wèn)：?.........

理論上可以，但俺不會(huì)

HonestQiao

客戶(hù)機(jī)上面如果有木馬什么的呢〉？