¿Dónde está el lugar más seguro para almacenar código confidencial en un servidor (por ejemplo, autorización de php, scripts de contacto, javascript confidencial o protegido)?lugar seguro para guardar el código
¿Ustedes/niñas tienen algún consejo o trucos sobre cómo proteger ese tipo de cosas?
Puede usar .htaccess para cortar el acceso remoto a los scripts PHP (por supuesto, aún podrá acceder a ellos localmente con la inclusión del lado del servidor). Supongo que sus scripts de contacto también son scripts PHP. Ellos pueden ser manejados de esta manera también. De cualquier manera, si PHP funciona en su servidor, incluso si un usuario conociera la ubicación de un archivo PHP, de todos modos no podrían ver el código fuente. Esto solo evita ciertas ejecuciones no autorizadas.
En cuanto a Javascript sensible o protegido, puede utilizar un compresor JS como this para ocultar el código, pero como JS se ejecuta en el lado del cliente, el usuario podrá ver el código fuente que le proporcione.
Buena idea con .htaccess, voy a perder el tiempo con esa idea. ¡Gracias! – justin
La ofuscación es definitivamente la única manera de proteger su js. –
Algunas observaciones
El problema que tiene es que con el fin de uso cualquiera de este código, tiene que ser legible por cualquier proceso que lo está utilizando (normalmente el servidor web). Ese solo hecho realmente hace que no sea práctico obtener seguridad adicional, a menos que pueda recurrir a algún tipo de procesamiento fuera de línea en cola. Regla ejecutar su propio servidor (o SPV), y evitar que otras personas fuera de ella
-
Regla # 1 - mantenerlo fuera del DocumentRoot (a menos que debería estar allí)
Regla # 2 # 3 - bloquear la caja con fuerza - puerto 22 (desde direcciones IP específicas) y 80/443 desde global
PS. JavaScript se ejecuta en el navegador web; no hay mucho que pueda hacer para protegerlo (que no sea oscurecerlo), ni debe hacerlo (por ej., NO confiar en los datos externos es la regla n. ° 0).
Otra táctica es almacenar dichos scripts PHP encima de la carpeta web pública. Sus scripts aún pueden acceder a ellos. A menudo uso esto para los datos que deseo poner a disposición de los usuarios que hayan iniciado sesión para su descarga. Tengo que crear un script específicamente para recuperar y enviar los datos, cuando sea necesario, pero nadie puede acceder a esos datos a menos que estén conectados y el script se los envíe.
Con sus scripts, es incluso más simple: no se puede acceder a ellos. Sus propios scripts pueden incluirlos, por supuesto, y usar .htaccess para controlar el acceso es otro paso que vale la pena.
¿De qué es esta "niña" de la que hablas? – Hello71