Experiencia con encriptar código PHP.

lavtaro · 11 Agosto 2020

Hola estimados, necesito encriptar código PHP por temas de seguridad (consultor hincha pelotas) , hay varios productos en el mercado como por ejemplo https://www.sourceguardian.com , alguien tiene experiencia con estos productos? estoy desarrollando en PHP 7 sin ningún framework, utilizo un server Windows Server con XAMPP en red local, es una aplicación muy chica.

Saludos y gracias.

Obsdark · 11 Agosto 2020

lavtaro dijo:
Hola estimados, necesito encriptar código PHP por temas de seguridad (consultor hincha pelotas) , hay varios productos en el mercado como por ejemplo https://www.sourceguardian.com , alguien tiene experiencia con estos productos? estoy desarrollando en PHP 7 sin ningún framework, utilizo un server Windows Server con XAMPP en red local, es una aplicación muy chica.

Saludos y gracias.

Creo que serviría si explicaras a que te refieres con "encriptar" el código, quieres "encriptar" el código hecho? Algo así como "ofuscar" el código?

O quieres encriptar una comunicación o un dato a almacenar que trabajará la aplicación?

Quien te responda, creo, necesitará mayor claridad en ese dato.

Enviado desde mi Nokia 9 mediante Tapatalk

lavtaro · 11 Agosto 2020

Obsdark dijo:
Creo que serviría si explicaras a que te refieres con "encriptar" el código, quieres "encriptar" el código hecho? Algo así como "ofuscar" el código?

O quieres encriptar una comunicación o un dato a almacenar que trabajará la aplicación?

Quien te responda, creo, necesitará mayor claridad en ese dato.

Enviado desde mi Nokia 9 mediante Tapatalk

Hola , gracias estimado, la idea es encriptar "los archivos .PHP" , ofuscar también es opción, para que en caso que alguien acceda a la carpeta donde están los archivos no pueda modificarlos para alterar el funcionamiento de la aplicación, saludos.

unreal4u · 12 Agosto 2020

En breve: pésima idea y por el otro lado siempre se podrá revertir. En tiempos de php4 hubo un framework que lo intentó hacer, pero era trivial revertirlo.

Y en eso radica el problema: PHP es un lenguaje interpretado, así que no se puede hacer de otra forma que no sea... interpretarlo, y para eso siempre vas a necesitar la versión desencriptada.

Si no quieres soltar el código fuente, será mejor hacer el proyecto en otro lenguaje (el cual aún así con suficiente tiempo y ganas, siempre se le puede hacer ingeniería inversa).

Saludos.

unreal4u · 12 Agosto 2020

lavtaro dijo:
Hola , gracias estimado, la idea es encriptar "los archivos .PHP" , ofuscar también es opción, para que en caso que alguien acceda a la carpeta donde están los archivos no pueda modificarlos para alterar el funcionamiento de la aplicación, saludos.

Git

con eso puedes asegurar que lo que corres no se modificó. Lo otro sería hostearlo en algún lado y quitarte acceso SSH, y sólo dejar que CI pueda meterse para reemplazar el código.

Saludos.

Miguelwill · 12 Agosto 2020

quizás para salir del cacho, y que los revisores queden contentos, encodear el código en base64 para que la lectura directa sea difícil sin la documentación o sin un decoder

Amenadiel · 12 Agosto 2020

Uh que consultor es ese? Si alguien llega al servidor donde tienes tus scripts con linea de comando entonces el menor de tus problemas es que vea el código.

Desde ahí puede imprimir las variables de entorno en donde -si se ha seguido las buenas prácticas- tendrás los pares user/pass para conectarte a la bbdd, el servicio de correo y una que otra API.

Enviado desde mi HMA-L29 mediante Tapatalk

Mesita · 12 Agosto 2020

unreal4u dijo:
Git con eso puedes asegurar que lo que corres no se modificó. Lo otro sería hostearlo en algún lado y quitarte acceso SSH, y sólo dejar que CI pueda meterse para reemplazar el código.

Saludos.

this ^

Obsdark · 13 Agosto 2020

Voy a igual decir lo obvio pero en verdad es un tema de correcta administración de permisos, sin permisos no puede alterar los archivos, y si toma permisos para hacer eso la modificación del código será el menor de tus problemas.

Digo esto y lo explícito porque, aunque es obvio, creo que todos lo obviaron porque asumieron que ya estaba tomando esa práctica y que él estaba preguntando por resguardos adicionales.

Pues aseguremonos que sea el caso.

Enviado desde mi Nokia 9 mediante Tapatalk

lavtaro · 13 Agosto 2020

unreal4u dijo:
Git con eso puedes asegurar que lo que corres no se modificó. Lo otro sería hostearlo en algún lado y quitarte acceso SSH, y sólo dejar que CI pueda meterse para reemplazar el código.

Saludos.

Buen dato, muchas gracias, saludos.

miguelwill dijo:
quizás para salir del cacho, y que los revisores queden contentos, encodear el código en base64 para que la lectura directa sea difícil sin la documentación o sin un decoder

Claro que es opción para salir del paso, saludos.

Amenadiel dijo:
Uh que consultor es ese? Si alguien llega al servidor donde tienes tus scripts con linea de comando entonces el menor de tus problemas es que vea el código.

Desde ahí puede imprimir las variables de entorno en donde -si se ha seguido las buenas prácticas- tendrás los pares user/pass para conectarte a la bbdd, el servicio de correo y una que otra API.

Enviado desde mi HMA-L29 mediante Tapatalk

Consultor no informático pero que al parecer alguien que entiende lo asesora, saludos

Mesita dijo:
this ^

lavtaro · 13 Agosto 2020

Obsdark dijo:
Voy a igual decir lo obvio pero en verdad es un tema de correcta administración de permisos, sin permisos no puede alterar los archivos, y si toma permisos para hacer eso la modificación del código será el menor de tus problemas.

Digo esto y lo explícito porque, aunque es obvio, creo que todos lo obviaron porque asumieron que ya estaba tomando esa práctica y que él estaba preguntando por resguardos adicionales.

Pues aseguremonos que sea el caso.

Enviado desde mi Nokia 9 mediante Tapatalk

El consultor asume que se saltan todos las barreras y que se modifica la aplicación para beneficiar a clientes , saludos.

Obsdark · 13 Agosto 2020

lavtaro dijo:
El consultor asume que se saltan todos las barreras y que se modifica la aplicación para beneficiar a clientes , saludos.

Un resguardo adicional que podrías hacer es incluir programas que guarden registro de las conexiones realizadas y tal vez un log externo en una máquina aparte de manera remota para guardar esos registros.

Así, si todo cae, tendrás los datos de que paso y/o quién lo generó, indistintamente si cae completo o no el servidor base.

Aparte, dependiendo de como lo hagas, te puede dar también el dato de que fue lo que se hizo para posteriormente tomar medidas.

Enviado desde mi Nokia 9 mediante Tapatalk

MetalCOB · 13 Agosto 2020

Dockerizalo

Miguelwill · 13 Agosto 2020

MetalCOB dijo:
Dockerizalo

es una buena opcion, ya que si ocurre algo y se cae el proceso principal (webserver), el contenedor se reinicia volviendo todo como estaba (naturalmente los datos que se deban guardar como logs, uploads, etc, dejarlos en un volumen para que no se pierdan)

Amenadiel · 13 Agosto 2020

lavtaro dijo:
Consultor no informático pero que al parecer alguien que entiende lo asesora, saludos

oh, suena a certificación ISO 27001. "Mandamos los passwords por correo pero la puerta de la oficina tiene chapa magnética. Check, aprobado".

unreal4u · 14 Agosto 2020

Amenadiel dijo:
oh, suena a certificación ISO 27001. "Mandamos los passwords por correo pero la puerta de la oficina tiene chapa magnética. Check, aprobado".

Siempre y cuando el correo tenga el tag "Confidencial" tamos bien xD

Experiencia con encriptar código PHP.

lavtaro

Capo

Obsdark

Capo

lavtaro

Capo

unreal4u

I solve problems.

unreal4u

I solve problems.

Miguelwill

I am online

Amenadiel

Ille qui nos omnes servabit

Mesita

Capo

Obsdark

Capo

lavtaro

Capo

lavtaro

Capo

Obsdark

Capo

MetalCOB

Miembro Regular

Miguelwill

I am online

Amenadiel

Ille qui nos omnes servabit

unreal4u

I solve problems.