Здравствуйте, а можно шифровать данные в configuration.php - например пароль к базе и так далее?

  • 60 Ответов
  • 678 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн 1-F7

Здравствуйте, а можно шифровать данные в configuration.php - например пароль к базе, базу данных, имя пользователя базы данных, префикс таблиц и так далее. В общем скрыть от глаз при просмотре файла.

*

Оффлайн robert

Скрыть от кого при каком просмотре файла? От суперадмина? Абсурд. От одноразово нанимаемого программиста? Без этих данных он не сможет работать.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн dmitry_stas

В общем скрыть от глаз при просмотре файла.
от кого?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн Taatshi

А вот кстати в этом есть доля разумности. От взломщика к примеру.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.


*

Оффлайн robert

@Taatshi, @1-F7:
Если взломщик уже у вас дома, то ему не нужны ключи от подъезда и от квартиры. Если он уже внутри вашей системы, то для нее - он свой и, как минимум, такой же важный, как и вы.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн buyanov

  • ***
  • 178
  • [+]27 / [-]1
  • Сайты 74
    • Просмотр профиля
    • Сайты 74
@Taatshi, @1-F7:
Если взломщик уже у вас дома, то ему не нужны ключи от подъезда и от квартиры. Если он уже внутри вашей системы, то для нее - он свой и, как минимум, такой же важный, как и вы.
Не, ну можно через уязвимость ведь прочитать конфиг =) Хотя это скорее исключение
Создание сайтов, интернет-магазинов, оптимизация, продвижение, хостинг, безопасность, лечение от вирусов - мой сайт, телега, Хостинг

*

Оффлайн Septdir

  • *******
  • 2086
  • [+]106 / [-]0
  • JoomlaZen
    • Просмотр профиля
    • Игорь «Septdir» Бердичевский
А вот кстати в этом есть доля разумности. От взломщика к примеру.
А смысл если добрался до конфига. То чтобы в базу каку кинуть логин пасс не нужен хотя если для успокоения совести.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты: Сайт | skype:septdir | Telegram | VK | Facebook | Twiter | Все контакты

*

Оффлайн robert

можно через уязвимость ведь прочитать конфиг
Например, как? "Не знаю, но как-то, наверное, можно" не принимается.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн SmokerMan

шифровать - не вопрос
вопрос в другом - как это потом расшифровать? :)
да и нафиг мне вообще будет это конфиг если у меня будет доступ к API Joomla, через которое можно делать с базой все что угодно, а оно к сожалению без пароля не заведется

*

Оффлайн AlexeyGal

Здравствуйте, а можно шифровать данные в ... и так далее. В общем скрыть от глаз...

Идея отличная. Просто Смотрите немного шире на проблему. Ключевая фраза: "и так далее", а не ограниченно один config.
Надо зашифровать ВСЕ файлы сайта, причем каждому файлу свой ключ шифрования, а наемному программисту выдавать ключи только к тем файлам, которые он будет редактировать. (запрет доступа к коммерческим плагинам от утечки)
Преимущества:
1. Сразу решится вопрос защиты от "случайно зашедшего" взломщика: ему придется подбирать к каждому файлу сайта индивидуальный ключ(много времени отнимет).
2. Владельцу сайта Без Проблем доступны к редактированию все файлы, так как у него база из всех 100500 ключей, автоматически расшифровывающие "на лету" при открытии ключами из базы.
3. Наемный программист (на одноразовую работу) получает ключи только от тех файлов которые программирует.
4. После окончания работы смена всех ключей, чтобы "наемный программист" не смог внести изменения в дальнейшем.
5. При выполнении сайта, php проверяет ключи по удаленной базе, если ключ не совпадает- значит произошли изменения исполняемого файла. Отправляется письмо владельцу- какой файл был изменен.
« Последнее редактирование: 06.10.2016, 01:31:53 от AlexeyGal »

*

Оффлайн dmitry_stas

о йеее :) я думал, я уже опоздал на обсуждение :) оказывается нет, в самый раз :) с удовольствием увидел бы реализацию.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн AlexeyGal

о йеее :) я думал, я уже опоздал на обсуждение :) оказывается нет, в самый раз :) с удовольствием увидел бы реализацию.
реализация простая- расширение (PHP extension) расшифровывающее файлы "на лету" перед Исполнением PHP- по базе данных ключей, доступ к которой есть только у владельца.
также шифрующая все файлы сайта с обновлением ключей в базе по команде и др. функции из панели управления (типа панели xcache для PHP)

*

Оффлайн robert

;D Осенний Сон НаемноПрограммистоНенавистника-НеПрограммиста.
« Последнее редактирование: 06.10.2016, 01:43:51 от robert »
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн SmokerMan

5. При выполнении сайта, php проверяет ключи по удаленной базе, если ключ не совпадает- значит произошли изменения исполняемого файла. Отправляется письмо владельцу- какой файл был изменен.
вот это самое интересное)
а каким образом php будет туда конектиться?

3. Наемный программист (на одноразовую работу) получает ключи только от тех файлов которые программирует.
а если мне другие файлы понадобятся, даже если там ничего изменять не собираюсь, просто допустим посмотреть что там делается
каждый раз просить ключик для каждого файла?)

*

Оффлайн dmitry_stas

реализация простая- расширение (PHP extension) расшифровывающее файлы "на лету" перед Исполнением PHP
ну хорошо, а программисту с ключами то что делать? вот дали вы ему 2 ключа на 2 файла на растерзание. а дальше - что ему с этими ключами делать?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн robert

Ключи, чтобы открыть
базу из всех 100500 ключей, автоматически расшифровывающие "на лету" при открытии ключами из базы
нужно спрятать в банковкой ячейке, ключи от которой - в другой и т.д.
Эту процедуру нужно проделать каждый раз, когда
После окончания работы смена всех ключей, чтобы "наемный программист" не смог внести изменения в дальнейшем
вот это самое интересное)
а каким образом php будет туда конектиться?
Да запросто, PHP он или нет?
« Последнее редактирование: 06.10.2016, 01:48:11 от robert »
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн AlexeyGal

а каким образом php будет туда конектиться?
дополнительная база с ключами, доступ к которой имеет только PHP-extension, коннектиться будет надстройка с одним запросом- выбрать все данные, формировать в ПАМЯТИ  Двумерный массив "файл-ключ" и дальше брать ключи только из массива, не обращаясь к базе ключей.

*

Оффлайн robert

дополнительная база с ключами
Ыыыыы, больше не могу.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Онлайн zikkuratvk

  • ********
  • 3991
  • [+]264 / [-]2
  • Разрабатываем для Joomla
    • Просмотр профиля
    • Разрабатываем для Joomla
Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg

*

Оффлайн SmokerMan

Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
и самое главное - отключить нафиг интернет :)

*

Оффлайн Septdir

  • *******
  • 2086
  • [+]106 / [-]0
  • JoomlaZen
    • Просмотр профиля
    • Игорь «Septdir» Бердичевский
Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
И топор для экстренного отключения
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты: Сайт | skype:septdir | Telegram | VK | Facebook | Twiter | Все контакты

*

Онлайн zikkuratvk

  • ********
  • 3991
  • [+]264 / [-]2
  • Разрабатываем для Joomla
    • Просмотр профиля
    • Разрабатываем для Joomla
и самое главное - отключить нафиг интернет :)

интернет первым делом... но еще надо и от электрической сети обязательно... чтоб враги через нее не добрались... А включать его только по допуску и в специальном помещении...
Судя по рассказам бывалых... мы еще дешево отделались...
В былые времена по инструкции надо еще чтоб над тобой человек стоял... и в случае опасности сначала застрелил тебя... а потом должен был застрелиться сам)))
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg

*

Оффлайн AlexeyGal

ну хорошо, а программисту с ключами то что делать? вот дали вы ему 2 ключа на 2 файла на растерзание. а дальше - что ему с этими ключами делать?

можно выдать ключи от определенных ПАПОК, потом чтобы PHP-extention еще проверяло, если ключ не подходит- то в каком месте файла что изменилось, по типу Git diff- просмотр внесенных изменений
очень ведь удобно при взломе сайта админу- сразу проанализировать где конкретно и что было измененено в 100500 файлах сервера.
ведь согласитесь git diff очень удобно при разработке, также было бы удобным иметь простой инструмент находить изменения в файлах сайта с отчетом на почту!

*

Оффлайн dmitry_stas

надо еще чтоб над тобой человек стоял... и в случае опасности сначала застрелил тебя... а потом должен был застрелиться сам)))
а дальше то что? :) сервер после того, как оба застрелились, тупо ж стырят :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн dmitry_stas

можно выдать ключи от определенных ПАПОК
это ясно. а делать то что ему потом с ключами этими? записал он себе их на листик, а дальше?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Онлайн zikkuratvk

  • ********
  • 3991
  • [+]264 / [-]2
  • Разрабатываем для Joomla
    • Просмотр профиля
    • Разрабатываем для Joomla
а дальше то что? :) сервер после того, как оба застрелились, тупо ж стырят :)
тогда серверов еще не было)))
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg

*

Оффлайн AlexeyGal

это ясно. а делать то что ему потом с ключами этими? записал он себе их на листик, а дальше?

Дальше открывает любимый Eclipse PDT и устанавливает Eclipse extention from Eclipse Market и добавляет эти ключи, расшифровывающие нужные файлы проекта.
Коммерческие плагины останутся зашифрованы и недоступны для просмотра.

*

Оффлайн robert

Уф, какая удача! А я уже собирался идти спать.
AlexeyGal aka Elano not Алексей, вы почаще ходите к нам, а то жизнь здесь казалась такой серой без вас :).
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн dmitry_stas

а если у меня любимый не Eclipse PDT, а Notepad++, то скачивать надо соответственно Notepad++ extention from Notepad++ Market?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций