en la compania donde trabajo estamos probando un software disenado para los fideicomisos (no me pregunten que es un fideicomiso) desarrollado por un contratista bajo php/mysql
Buff. Yo no usaría php para nada serio.
estaba revisando por encima el codigo y me encontre que cuando la aplicacion es llamada esta carga una pagina que contiene la direccion del servidor de base de datos, el nombre de la base de datos y el usuario y password que utilizaria en la conexion en texto claro y legible
Normal.
por supuesto para poder leer este archivo hace falta ser el usuario que maneja el apache o estar en el grupo del apache, pero sin embargo como la aplicacion no utiliza ningun tipo de ssl para realizar sus conexiones, me parece un poco "ligero" tener esta informacion sin ningun tipo de encripcion.
me gustaria saber si hay alguien que haya trabajado con php/mysql, como hace con estos casos en los que es necesario encriptar un password / usuario, etc, dentro de la aplicacion pero sin dejar que la aplicacion pueda leer esta informacion tan necesaria.
Varias cosas: - usar ssl. Si hay que enviar usuario y pwd, mejor que sea encriptado. Pero el cliente podrá verlo si es un poco hábil. - usar otra arquitectura: presentación - capa de negocio - bbdd. NO sé si php soporta algo así, pero J2EE nació para esto. El que tomó la decisión de hacerlo en LAMP (presumo que LAMP) tendrá que hacerse responsable de los 'bujeros' de seguridad que deja php (muchos) y los desarrolladores de php (aún más). Por cierto que, no se si febrero o marzo ha sido el mes en que php has sido declarado proyecto del mes para securizarlo. Se trata de encontrar el mayor número de bugs posibles durante un mes para dejarlo lo más seguro posible. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org