Sitat av
sciencefyll
Men php blir bare køyrt på server siden. Ergo visst denne dataen skulle kun bli brukt på serversiden så er $_SESSION eller database spørringer lettere.
Skal teksten sendes mellom frontend og backend, så må du ha eit script som kan dekryptere / kryptere dataen som blir mottatt og sendt på frontend. Og da.. visst noen vil hente ut opplysningene då så kan dei bare bruke frontend algoritmen til å anskaffe dette.
Med andre ord, så hjelper ikkje php skriptet. Eller tenker eg heilt feil nå?
For det første så hjelper verken sessions eller databaser mot det som trådstarter spør om, nemlig å sikre transport av data til en nettside.
Angående at PHP kjøres på server-siden så er det korrekt, men assymetrisk kryptering (Public-Key Cryptography) eksisterer jo. Da kan du kryptere med en offentlig nøkkel, og kun dekryptere om du har den private (som er trygt gjemt på serversiden).
Problemet er da å få krypteringsalgoritmen til front-end på en sikker måte, slik at ikke en angriper kan bytte den ut med en som er triviell å knekke. Da vil man gjerne ta i bruk f.eks. TLS, og da er egentlig krypteringen overflødig. Metoden for å få dataene til klienten blir det svakeste leddet, og bryter man den så kan man man-in-the-middles.
Løsningen er å bruke TLS, og tvinge sikkerheten på for å unngå sslstrip. Certificate pinning om du ønsker å ta det et steg videre, og beskytte mot aktive angripere.
Sist endret av Dyret; 30. mai 2016 kl. 01:35.