场景:用 PHP 编写的 Web 应用程序使用 Amazon Web Service并且必须随身携带访问 key ID 和 secret 访问 key 才能正常工作。目前是否有安全存储此数据的建议和/或 API?
我的想法是根据从本地服务器变量创建的 key 将其对称加密到一个文件中。这样一来,如果有人通过 FTP 获取文件副本、丢失带有复制文件的笔记本电脑等,这就是[希望]乱码。我担心的是,熟练的攻击者可以上传他们自己的脚本来解密它。
这看起来像一个 common situation还有一个我从来没有找到一个舒适的解决方案。显然我不能使用单向哈希,因为我需要原始数据来创建 HMAC 以发送到 AWS。相关 S.O. 的链接欢迎提问。
最佳答案
啊。安全问题。
我认为您在这里应该问的问题是您如何处理 php 配置文件中的 mySQL 密码等?
坦率地说,我会说,如果有人设法获得了您的文件副本,那么您的安全性无论如何都需要重新考虑。对于我自己的使用,我通常只将密码保存在一个地方(在应该使用它们的服务器上)并确保我每次都使用随机生成的密码(将其粘贴到配置文件中,瞧!)
老实说,如果不是您自己的主机,任何敏感数据都可能被泄露。
如果它是您自己的主机,我建议在 Linux 中使用适当的权限,并且 PHPSuExec确保只有您编写的脚本才能访问这些文件。
无论如何,回答你最初的问题,你的 AWS 访问/ secret key 与 MySQL 密码一样,好的,它有可能让别人访问你的服务,但它不会让他们访问你的个人细节。即使使用对称加密,如果您的脚本存在安全漏洞,也可以访问信息。
简而言之,如果您将这些 key 放在除您之外任何人都可以访问的任何地方,您就是在冒险。您有多相信亚马逊的服务器不会受到损害?
我的建议是尝试尽可能多地增加安全性,但请注意您的帐户,我通常会运行一个 cron 作业,向我发送一封电子邮件,其中包含对我的 S3 帐户的更改(上传的新文件,新桶等),从中我可以知道发生了什么。
没有简单的解决方案,它是保护系统每个单独层的组合。我的意思是,如果您使用对称加密,那么密码必须存储在某个地方,对吗?还是每次都要输入?
希望对你有帮助
关于php - 您对存储 AWS 身份验证数据有何建议?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/346826/
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的
我有一些非常大的模型,我必须将它们迁移到最新版本的Rails。这些模型有相当多的验证(User有大约50个验证)。是否可以将所有这些验证移动到另一个文件中?说app/models/validations/user_validations.rb。如果可以,有人可以提供示例吗? 最佳答案 您可以为此使用关注点:#app/models/validations/user_validations.rbrequire'active_support/concern'moduleUserValidationsextendActiveSupport:
当我的预订模型通过rake任务在状态机上转换时,我试图找出如何跳过对ActiveRecord对象的特定实例的验证。我想在reservation.close时跳过所有验证!叫做。希望调用reservation.close!(:validate=>false)之类的东西。仅供引用,我们正在使用https://github.com/pluginaweek/state_machine用于状态机。这是我的预订模型的示例。classReservation["requested","negotiating","approved"])}state_machine:initial=>'requested
我有一个服务模型/表及其注册表。在表单中,我几乎拥有服务的所有字段,但我想在验证服务对象之前自动设置其中一些值。示例:--服务Controller#创建Action:defcreate@service=Service.new@service_form=ServiceFormObject.new(@service)@service_form.validate(params[:service_form_object])and@service_form.saverespond_with(@service_form,location:admin_services_path)end在验证@ser
