Выбор тайны

Question

В настоящее время я немного изучу, что я могу сделать, чтобы защитить данные cookie, которые я отправляю своему клиенту. Оказывается, все сводится к подписанию моих куки - неважно, не так ли?

Ну, на самом деле, это только отчасти верно. Я застрял в решении, какой секрет использовать. Понимаете, мое приложение открыто, и я не буду внезапно закрывать открытый исходный код. Поэтому мне нужен механизм, который позволил бы мне сохранить секрет серьезной тайны и убедиться, что конечный пользователь, который читает мой код, не сможет сразу прорваться. Потому что, что-то взломано, если вы долго его тренируетесь - вот как я это вижу.

В любом случае я схожу с темы.

Я работаю с PHP и NodeJS. Каковы наилучшие способы выбрать секрет, который навсегда останется в секрете?

Мои первые мысли: - секретный ключ моего сервера - случайная строка, поместить в текстовый файл вне мирового доступа

Мое приложение в настоящее время работает Yii1, но я переключение на Laravel 5.

Answer 1

Оказывается, все это сводится к подписанию моих печеньков - не большое дело, не так ли?

Будьте очень осторожны здесь. Многие люди пытались реализовать такую ​​функцию раньше, только до render their apps remotely exploitable.

Я бы почти поспорил, что вы не должны писать это сами. Одна из возможностей, которую я создаю для библиотеки библиотеки libsodium, - an authenticated encryption wrapper for HTTP cookies.

Каковы лучшие способы выбора тайны, которая навсегда останется в секрете?

Самый простой: использование 32 байт от /dev/urandom, хранящихся в файле конфигурации за пределами вашего корня документа.

Большинство защищенных: Use a HSM, поэтому ваши ключи никогда не доступны, даже если злоумышленник получает root на вашем сервере.