Chinaunix

标题: PHP信息保护安全性讨论 [打印本页]

作者: SATAND 时间: 2004-12-22 12:10
标题: PHP信息保护安全性讨论
议题：

有一个数据库，记录了加密的信息

只有一个密钥，由客户持有，每次检索输入一次，提交至php处理解密

假设该处理页面代码公开，不会将该密钥转存，并由代码内嵌的防火墙监控

假设客户至服务器的途径是安全的

那么，这个密钥会不会被获得？

可能：

通过内存取数——在php执行脚本的时候，从内存中获得——请帮忙讨论该过程的可能性

作者: 北京野狼 时间: 2004-12-22 13:15
标题: PHP信息保护安全性讨论

原帖由 "SATAND" 发表：
议题：

有一个数据库，记录了加密的信息

只有一个密钥，由客户持有，每次检索输入一次，提交至php处理解密

假设该处理页面代码公开，不会将该密钥转存，并由代码内嵌的防火墙监控

假设客户至服务器的途?.........

你的意思你就在服务器上？如果php程序是公开的，那解密算法不就公开了？

作者: SATAND 时间: 2004-12-22 14:34
标题: PHP信息保护安全性讨论
解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的

作者: 北京野狼 时间: 2004-12-22 15:46
标题: PHP信息保护安全性讨论
[quote]原帖由 "SATAND"]解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的[/quote 发表：

我想他终究得输入密钥，apache什么都能知道。至少你要是改一下把他整个session都记录下来，
那他传上来的所有信息包括密钥你就都知道了。我是没改过apache

作者: 北京野狼 时间: 2004-12-22 16:01
标题: PHP信息保护安全性讨论
[quote]原帖由 "SATAND"]解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的[/quote 发表：

其实有个更简单的办法。你有php代码。把代码改一下，
记录下用户的session和url变量到日志里面

你查下日志就知道、他的密钥了

作者: SATAND 时间: 2004-12-22 16:12
标题: PHP信息保护安全性讨论
我的思路是，有一部服务器，要确保客户的安全
apache和php都用安全程序，不做任何后门，并有代码内嵌式防火墙监控，保证这些程序不被替换

只能增加进程来进行侧面的探测，通过第三方代码来获得需要的东西
问：我能不能从内存中把PHP脚本执行过程中用的变量读取出来

作者: 北京野狼 时间: 2004-12-22 23:17
标题: PHP信息保护安全性讨论

原帖由 "SATAND" 发表：
我的思路是，有一部服务器，要确保客户的安全
apache和php都用安全程序，不做任何后门，并有代码内嵌式防火墙监控，保证这些程序不被替换

只能增加进程来进行侧面的探测，通过第三方代码来获得需要的东西
问：?.........

理论上可以，但俺不会

作者: HonestQiao 时间: 2004-12-28 08:42
标题: PHP信息保护安全性讨论
客户机上面如果有木马什么的呢〉？

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)