Драйвер сеанса PHP CodeIgniter для безопасного хранения в сеансе
Я пытаюсь разработать безопасное приложение для хранения конфиденциальных документов, которые необходимо зашифровать. Я хочу использовать Azure Key Vault для шифрования / дешифрования данных в моей БД. В Key Vault после отправки учетных данных вы получаете токен доступа, который вам нужно как-то надежно хранить, чтобы выполнять вызовы API. Единственное решение, которое я могу придумать, - это сохранить их как переменную сеанса. С CodeIngiter вы можете указать драйвер сеанса как файлы, базу данных, redis или memcache. Я подумал, если бы я использовал redis или memcache в качестве драйвера, означало бы это, что переменные сеанса хранятся в памяти вместо файла или базы данных, к которым может получить доступ злоумышленник? Сделало бы это более безопасным? Я пока мало что знаю о memcache или redis. Или есть лучший способ обрабатывать эти токены доступа.
Спасибо
Я не уверен, что вы имеете в виду. Если вы имеете в виду хранить фактические документы вне сервера на бумажной копии или что-то такое, что невозможно, они должны быть доступны пользователю при входе в систему. Если вы имеете в виду хранить токен доступа вне корневого каталога документа, как я могу сделай это? Разве что-нибудь, что я храню на сервере по определению, не будет внутри корня документа? Извините, я новичок во всем этом
Ответы 1
Во-первых, позвольте мне сказать, что я мало знаю о лазурном и используемых в нем токенах. Что я могу сказать, так это то, что если это что-то вроде API Google, которое дает вам ключ .p12 (файл), вы можете просто разместить файл вне корня документа.
Пример:
Это мой сайт, все мои общедоступные скрипты и файлы (которые не защищены через .htaccess) находятся в папке /HTML/ (иногда это называется public_html) и действует как корень моего документа, например. $_SERVER['DOCUMENT_ROOT'] (/opt/www/prezent/mysite.com/HTML/).
Как вы можете видеть, я храню свои сеансы и резервные копии вне папки HTML / корня документа, поэтому ничего из этого не видно - только сервер может получить к нему доступ. Следовательно, это было бы хорошее место для размещения конфиденциальной информации.
Вы также, вероятно, могли бы поместить папку в свою общедоступную html-папку и защитить ее от всех с помощью файла .htaccess (я никогда не знал, что они терпят неудачу).
Конечно, все это предполагает, что вы можете сохранить свой токен в файл.
Благодарю за ваш ответ. Хорошо, я понимаю, о чем вы говорите. Да, если бы он был сохранен в файле, он определенно был бы выше public_html. Но что, если сервер скомпрометирован: каким-то образом кто-то получает доступ к серверу и всем файлам на нем. Хранение в файле в этом случае будет небезопасным. Таким образом, идея с хранилищем ключей заключается в том, что информация для расшифровки ваших данных находится полностью вне офиса. К сожалению, поскольку пользователи хотят получить доступ к своим данным, вам нужно как-то сохранить токен доступа. Я спрашиваю, использовал ли я memcache, чтобы поместить это в память вместо файла, если это будет защищено от атаки.
Memcached требует, чтобы файл say, строка или хэш были извлечены откуда-то и сохранены в оперативной памяти, чтобы вы вернулись к файлу или сохранили токен локально. И, как вы знаете, оперативная память не является постоянным средством хранения, поэтому даже если вы сохранили ее и удалили ее присутствие на сервере, она в конечном итоге будет удалена из оперативной памяти. Memcached не предназначен для постоянного хранения, это только временные данные. Я действительно не вижу способа хранить токен где-нибудь, чтобы он был уязвим для серьезной атаки.
При этом сеанс также не предназначен для длительного хранения, и если они хранятся в вашей защищенной базе данных, вам понадобится ключ, прежде чем пытаться получить ключ (если это имеет смысл).
Ах, хорошо, это то, что я думал, вероятно, было ответом, с memcache все еще есть какой-то файл, связывающий данные с памятью, и к этому файлу можно получить доступ. Спасибо за вашу помощь.
Вы можете сохранить это как файл? Затем просто поместите его вне корня документа, и он будет в безопасности