Desidero inviare le nuove versioni della mia applicazione in archivi crittografati e firmati al server. Gli archivi PHAR sono una buona soluzione per farlo? PHAR è abbastanza sicuro?
Secondo questo , non è possibile crittografare il contenuto degli archivi. Almeno non con l'attuale versione di estensione phar (2.0) e non senza un compilatore speciale, ad esempio ioncube . L'aggiunta della password zip causa un errore per decompressione, perché l'estensione non è pronta a gestirlo. Se desideri la crittografia del contenuto, ad esempio per il trasporto o l'archiviazione, suggerirei un altro livello di crittografia su phar, ad esempio SSL farebbe il lavoro.
La firma sembra essere a posto, è basata su un checksum sha1 del phar archivio e una chiave privata. Quindi protegge bene l'integrità del pacchetto. Ci sono ulteriori checksum crc32 memorizzati nei manifesti dei file, come un altro livello per la protezione dell'integrità dei dati ... (Solo il crc32 non sarebbe sufficiente .) Quindi non penso che gli archivi possano essere falsificato senza la chiave privata.
No, gli archivi PHAR non offrono funzionalità di sicurezza. Ma puoi firmare gli aggiornamenti usando GPG come fa letteralmente ogni altro progetto.
Alcuni sistemi di gestione dei pacchetti (rpm, deb, ecc.) consentono la verifica della firma integrata. Puoi utilizzare uno di questi e ottenere la sicurezza gratuitamente oppure puoi implementarlo da solo.
Leggi altre domande sui tag php