Ho costruito un sistema e ho messo un sacco di lavoro per assicurarmi che sia super sicuro. Ma ho una (potenzialmente irrazionale) paura che se qualcuno fosse in grado di entrare nel mio server, potrebbe semplicemente cambiare il codice PHP che ho scritto e sarebbe finito. Nessuna funzione che potrei costruire potrebbe resistere a qualcuno con accesso al server.
Faccio tutte le cose giuste per quanto riguarda il prelevamento di buone password per l'accesso al mio server, non salvandole da nessuna parte, ecc ... Ma ho potuto credere dal flusso costante di notizie sulle mega-aziende che vengono hackerate, non importa cosa faccio, ci sarà ancora qualche vulnerabilità da qualche parte che un hacker esperto può usare per entrare nel mio sistema.
Quindi cosa ne pensi di questo piano?
- Crea un file intitolato qualcosa di non descrittivo (diremo secretFile.php per questo esempio) e seppellire il file da qualche parte sul server.
- Fai in modo che quel file restituisca semplicemente un hash MD5 della directory in cui è presente tutto il mio codice.
- registrati per un secondo host completamente separato e configura un cron job (cron.php) per chiamare www.mySite.com/secretFile.php ogni X minuti
- cron.php registra i risultati di secretFile.php
- Se c'è un cambiamento dall'ultima volta che è stato effettuato il check-in, mandami una notifica, attiva un kill switch, chiama il 911, qualunque sia ...
Mi rendo conto che questo piano potrebbe essere sventato se qualcuno dovesse entrare nel mio server secondario, o se sapesse di secretFile.php sul mio server primario. Ma nel nome di "ogni piccolo aiuto per la sicurezza", pensi che questo tipo di sicurezza possa davvero aiutarti?
(Inoltre, so che ci sono determinate estensioni che possono essere installate sul mio server primario che ascoltano le modifiche ai file. Ma se qualcuno ha accesso al mio server primario, immagino che potrebbero anche solo disabilitare quell'estensione.)