Experiencia con encriptar código PHP.

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
230
Hola estimados, necesito encriptar código PHP por temas de seguridad (consultor hincha pelotas) , hay varios productos en el mercado como por ejemplo https://www.sourceguardian.com , alguien tiene experiencia con estos productos? estoy desarrollando en PHP 7 sin ningún framework, utilizo un server Windows Server con XAMPP en red local, es una aplicación muy chica.

Saludos y gracias.
 

Obsdark

Capo
Se incorporó
28 Septiembre 2019
Mensajes
118
Hola estimados, necesito encriptar código PHP por temas de seguridad (consultor hincha pelotas) , hay varios productos en el mercado como por ejemplo https://www.sourceguardian.com , alguien tiene experiencia con estos productos? estoy desarrollando en PHP 7 sin ningún framework, utilizo un server Windows Server con XAMPP en red local, es una aplicación muy chica.

Saludos y gracias.
Creo que serviría si explicaras a que te refieres con "encriptar" el código, quieres "encriptar" el código hecho? Algo así como "ofuscar" el código?

O quieres encriptar una comunicación o un dato a almacenar que trabajará la aplicación?

Quien te responda, creo, necesitará mayor claridad en ese dato.

Enviado desde mi Nokia 9 mediante Tapatalk
 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
230
Creo que serviría si explicaras a que te refieres con "encriptar" el código, quieres "encriptar" el código hecho? Algo así como "ofuscar" el código?

O quieres encriptar una comunicación o un dato a almacenar que trabajará la aplicación?

Quien te responda, creo, necesitará mayor claridad en ese dato.

Enviado desde mi Nokia 9 mediante Tapatalk

Hola , gracias estimado, la idea es encriptar "los archivos .PHP" , ofuscar también es opción, para que en caso que alguien acceda a la carpeta donde están los archivos no pueda modificarlos para alterar el funcionamiento de la aplicación, saludos.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.442
En breve: pésima idea y por el otro lado siempre se podrá revertir. En tiempos de php4 hubo un framework que lo intentó hacer, pero era trivial revertirlo.

Y en eso radica el problema: PHP es un lenguaje interpretado, así que no se puede hacer de otra forma que no sea... interpretarlo, y para eso siempre vas a necesitar la versión desencriptada.

Si no quieres soltar el código fuente, será mejor hacer el proyecto en otro lenguaje (el cual aún así con suficiente tiempo y ganas, siempre se le puede hacer ingeniería inversa).

Saludos.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.442
Hola , gracias estimado, la idea es encriptar "los archivos .PHP" , ofuscar también es opción, para que en caso que alguien acceda a la carpeta donde están los archivos no pueda modificarlos para alterar el funcionamiento de la aplicación, saludos.

Git ;) con eso puedes asegurar que lo que corres no se modificó. Lo otro sería hostearlo en algún lado y quitarte acceso SSH, y sólo dejar que CI pueda meterse para reemplazar el código.

Saludos.
 
Upvote 0

Miguelwill

Space xeno-hunter
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.252
quizás para salir del cacho, y que los revisores queden contentos, encodear el código en base64 para que la lectura directa sea difícil sin la documentación o sin un decoder
 
Upvote 0

Amenadiel

Ille qui nos omnes servabit
Fundador
OVERLORD
REPORTERO
Se incorporó
15 Enero 2004
Mensajes
18.398
Uh que consultor es ese? Si alguien llega al servidor donde tienes tus scripts con linea de comando entonces el menor de tus problemas es que vea el código.

Desde ahí puede imprimir las variables de entorno en donde -si se ha seguido las buenas prácticas- tendrás los pares user/pass para conectarte a la bbdd, el servicio de correo y una que otra API.

Enviado desde mi HMA-L29 mediante Tapatalk
 
Upvote 0

Obsdark

Capo
Se incorporó
28 Septiembre 2019
Mensajes
118
Voy a igual decir lo obvio pero en verdad es un tema de correcta administración de permisos, sin permisos no puede alterar los archivos, y si toma permisos para hacer eso la modificación del código será el menor de tus problemas.

Digo esto y lo explícito porque, aunque es obvio, creo que todos lo obviaron porque asumieron que ya estaba tomando esa práctica y que él estaba preguntando por resguardos adicionales.

Pues aseguremonos que sea el caso.

Enviado desde mi Nokia 9 mediante Tapatalk
 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
230
Git ;) con eso puedes asegurar que lo que corres no se modificó. Lo otro sería hostearlo en algún lado y quitarte acceso SSH, y sólo dejar que CI pueda meterse para reemplazar el código.

Saludos.

Buen dato, muchas gracias, saludos.

quizás para salir del cacho, y que los revisores queden contentos, encodear el código en base64 para que la lectura directa sea difícil sin la documentación o sin un decoder

Claro que es opción para salir del paso, saludos.

Uh que consultor es ese? Si alguien llega al servidor donde tienes tus scripts con linea de comando entonces el menor de tus problemas es que vea el código.

Desde ahí puede imprimir las variables de entorno en donde -si se ha seguido las buenas prácticas- tendrás los pares user/pass para conectarte a la bbdd, el servicio de correo y una que otra API.

Enviado desde mi HMA-L29 mediante Tapatalk

Consultor no informático pero que al parecer alguien que entiende lo asesora, saludos

 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
230
Voy a igual decir lo obvio pero en verdad es un tema de correcta administración de permisos, sin permisos no puede alterar los archivos, y si toma permisos para hacer eso la modificación del código será el menor de tus problemas.

Digo esto y lo explícito porque, aunque es obvio, creo que todos lo obviaron porque asumieron que ya estaba tomando esa práctica y que él estaba preguntando por resguardos adicionales.

Pues aseguremonos que sea el caso.

Enviado desde mi Nokia 9 mediante Tapatalk
El consultor asume que se saltan todos las barreras y que se modifica la aplicación para beneficiar a clientes , saludos.
 
Upvote 0

Obsdark

Capo
Se incorporó
28 Septiembre 2019
Mensajes
118
El consultor asume que se saltan todos las barreras y que se modifica la aplicación para beneficiar a clientes , saludos.
Un resguardo adicional que podrías hacer es incluir programas que guarden registro de las conexiones realizadas y tal vez un log externo en una máquina aparte de manera remota para guardar esos registros.

Así, si todo cae, tendrás los datos de que paso y/o quién lo generó, indistintamente si cae completo o no el servidor base.

Aparte, dependiendo de como lo hagas, te puede dar también el dato de que fue lo que se hizo para posteriormente tomar medidas.

Enviado desde mi Nokia 9 mediante Tapatalk
 
Upvote 0
Subir