Isp アカウント ページを破棄することで、ユーザーが Isp プロバイダーから情報を簡単に取得できるようにする小さなアプリを開発しています。それを可能にするには、データベースにユーザー名とパスワードを保存する必要があります。パスワードを安全に保つために、openssl 公開鍵を使用してデータベースでエンコードし、秘密鍵を使用してデコードしてから、スクレイパーがアカウント ページにログインします。
誰かが私の Web サーバーのコントローラーを乗っ取ったとしても、パスワードが安全であるように、秘密鍵をどこに置くべきか疑問に思っていますか? Webサーバーに秘密鍵をそのままにしておくのはまったく不適切なので...
tks
誰かがあなたのサーバーを完全に制御し、それらのパスワードに興味を持っている場合、彼は成功します. 常にこれを考慮して、この場合に何をすべきか計画を立ててください。
これを実現するのをできるだけ難しく、ありそうもないものにするために、私は鍵 (あるいはパスワード) をある種のメモリーテーブルに保存することをお勧めします: Ramdisk のように、1 分間に 1 つのパスワードだけを発行し、それ以上呼び出された場合は自分自身を削除します。
ここで公開鍵暗号化を使用することによるプラスの効果は見られません。何を使用しても、復号化する鍵はサーバーに保存する必要があります。https 証明書の問題を説明するハウツーを探すことができます。それらはパスフレーズで保護され、サーバーの起動時に読み取られる必要があります-問題は関連しています。
おそらく良い解決策は、サーバーにログインし、パスワードファイルを RAM ディスクに保存してからログアウトすることです。サーバーの再起動、クラッシュ、またはパスワードの変更時に繰り返します。