Phpass Signature
В настоящее время я ищу способ шифрования паролей моих пользователей, и вместо того, чтобы просто использовать crypt(), я остановился на использовании Phpass 0.3 после прочтения этого ответа на stackru. Однако, когда вы посещаете домашнюю страницу Phpass, у нее также есть возможность загрузить подпись. Доступны две разные подписи, и кажется, что вы можете создать свою собственную, если хотите.
1] Какова цель подписей и как они работают?
2] Они необходимы для использования Phpass или это просто дополнительный уровень безопасности?
1 ответ
Подпись есть, чтобы подтвердить загрузку. Здесь объясняется, как их использовать.
Подумайте об этом, вы загружаете часть программного обеспечения, которую вы будете использовать в критически важной функции безопасности вашего программного обеспечения. Кто может гарантировать, что то, что вы загружаете и успешно выполняете на своем сервере, не содержит вредоносного бэкдора? Только ваше доверие к автору может.
Автор имеет цифровую подпись своего загружаемого кода и предлагает публичную подпись, которую вы можете проверить. Идея состоит в том, что вы загружаете код, получаете подпись и проверяете, что оба совпадают. Это помогает защитить злоумышленника, который скомпрометировал вашу загрузку и вставил в нее вредоносный код во время загрузки, или от того, кто взломал сервер и заменил код вредоносным кодом.
Обратите внимание, что сам автор заявляет, что, если бы сервер был взломан, подпись тоже могла быть.
Примечание: я бы порекомендовал PHP password_hash вместо вековой библиотеки Phpass в эти дни.