3
只是考虑加强我们的Apache/PHP服务器安装并思考一般方法。是否有可能创建一个配置,只有在“签名”或哈希总和(例如MD5)已知时才会执行php代码?Apache/PHP:强制执行已签名的代码(或已知的MD5)
有没有人有建议?
A
回答
3
只是一个脑袋:我不会在这里推荐MD5。
也就是说,PHP Archives (a.k.a. Phar)支持通过OpenSSL进行代码签名。这用于random_compat(参见:random_compat.phar和random_compat.phar.pubkey; .asc文件是.pubkey文件的GPG签名)。
我们用来生成带符号Phars的代码位于here。
相关问题
- 1. 汇编代码如何知道值是否已签名或未签名?
- 2. 警告代代码已签名apk
- 3. QTP检索已执行的代码
- 4. Java - 强制执行已执行的方法
- 5. 已知输入的MD5冲突
- 6. 预期的已知功能,得到'MD5'
- 7. 为toString强制执行类型签名
- 8. jQuery.html() - JavaScript代码已执行但消失
- 9. PowerShell命令或代码知道脚本执行是否已停止
- 10. 获取已签名apk的密码
- 11. 推送通知代码执行(强制退出应用程序)
- 12. 已过期或已撤销对Infopath文档的证书签名
- 13. 代码促销:强制执行规则
- 14. 展开已执行的代码行的属性
- 15. 已执行的java代码的日志行数
- 16. 已执行的java代码的日志行号
- 17. TFS 2010在门控签入中强制执行代码分析
- 18. 重新签名已签名的应用
- 19. 已签名的Java Applet未运行
- 20. 我可以更改已签名的可执行文件
- 21. Android - 已签名的APK - Gradle执行失败
- 22. 开发人员ID已签名的应用程序 - 代码签名
- 23. 已签名applet的问题
- 24. 调试已签名的apk
- 25. 如果密钥已知,如何解码md5?
- 26. 选择一个未知的代码已知标签后矗立在jSoup
- 27. 如何验证时间戳是否已正确完成已签名代码
- 28. 与已知的O(n)和已知的系统时钟,能我们计算代码的时间复杂度是已知的代码
- 29. 如何执行一些的jQuery或JavaScript代码重定向已完成
- 30. 动态返回已执行多少代码的函数?
这实际上是一个Apache模块的好主意,但我认为Apache(或任何其他我知道的服务器)目前无法做到这一点。一些问题显然是签名密钥(如何以及在哪里存储签名密钥以及文件签名)和性能(Apache需要检查每个请求上的签名,这在计算上非常密集)的密钥管理。但我很喜欢这个想法。 (也MD5是不适合这个,但这只是一个技术细节。) –
@GaborLengyel我认为这应该是一个PHP模块。除了可以与NGINX或CLI(或禁止 - IIS)一起使用外,它还可以与OPCache系统集成以缓解性能问题 - 签名检查仅在缓存得到更新时执行,并且只有有效的代码被加载缓存。一个简单的逻辑临时工具可以通过[auto_prepend](http://php.net/manual/en/ini.core.php#ini.auto-prepend-file)指令 –
来实现。那么你可以加密你的使用ioncube装载机的php代码(www.ioncube.com/)。它可以防止未经授权更新php代码。也可以编写一个自定义的PHP脚本,将当前的PHP页面的散列与已知有效的存储散列进行比较。 –