如何保護Web服務器使用私鑰解密數據庫中的字符串存儲？

Question

我正在開發一個小的應用程序，這將幫助用戶輕鬆地從他們的ISP提供商處獲得的信息，通過報廢他們的ISP帳戶頁面。爲了這個可能，我需要他們的用戶名和密碼存儲在我的數據庫中。爲了保持自己的密碼安全，我會使用OpenSSL的公共密鑰來編碼它在我的數據庫和私鑰進行解碼我刮板登錄到他們的帳戶頁面之前。

我不知道在哪裏把我的私人密鑰，以便密碼是即使有人拿我的Web服務器的控制器安全嗎？因爲這將是完全不恰當剛剛離開Web服務器上的私鑰...

TKS

Answer 1

如果有人將您的服務器的完全控制，並有興趣的密碼，他一定會成功。請始終考慮這一點，並制定計劃在這種情況下做什麼。

現在爲了使其儘可能地難以實現，我建議將密鑰（或更好的密碼）存儲在某種內存表中：像Ramdisk，一個腳本，它只會發出一個每分鐘的密碼，並刪除自身，如果叫比等

我在這裏看不到使用公鑰加密的任何積極作用，解密密鑰必須存儲在服務器上，無論你使用什麼更多。你可以看看該descripe HTTPS的證書的問題HOWTO文檔，就應該通過密碼短語保護，必須在服務器啓動時讀取 - 問題有關。

可能是一個很好的解決辦法是登錄到服務器，存儲在ramdisk中的密碼文件並註銷。重複服務器重啓，崩潰或密碼更改。