[PHP-users 11892] Re: スクリプト中のパスワードの隠し方

Naofumi Kondoh php-users@php.gr.jp
Fri, 29 Nov 2002 09:10:31 +0900


ソフト工房の近藤です。こんにちは。

Osamu Shigematsu wrote:
> 重松です。こんにちは。

-- snip --
>>そういうことであれば、documentroot 以外の場所にパスワード
>>を記述したファイルを置いて、include するのとセキュリティー
>>上はあまりかわらないように思うのですが如何でしょうか?。

> 確かに同意できますが、そのファイルの在処を管理するのがかったるいのです。
> つまり、.htaccess ならば、可搬性が増すということです。

どうせ PHP のクラスライブラリなどは、DocumentRoot 以外
の場所に置くのだから手間かえってかからないように思います
が、この辺は人それぞれかな。

> これは、PostgreSQL のほうも対応している必要があると思いますが、
> 平文でパスワードそのものを格納するのではなくて、
> せめて、md5 値にして、それで PostgreSQL に接続できれば、
> その個人がどういうルールでパスワードを生成しているのか、
> そめて、それを隠すことができますね。

スイマセン。意味がよくわからないのですが。
人が記憶により手で入力するパスワードではなく、スクリプト
等に記述するパスワードは、パスワード推測ツールなどで容易
に推定されないようなランダムな文字列にしますね。それを
さらに md5 して何か意味があるのかと。

可能ならば、PHP の /ext/pgsql/pgsql.c あたりのソースコード
に手を入れて、暗号化したパスワードを渡せないかと。
# 勿論、PostgreSQL のソースコードを改良した方がいいのですが、
# 難しすぎて私の手には負えない。誰かやってくれないかな(^_^;;

-- snip --

> 現実的な問題として、shell がつかえれば、PHP 以外のプログラムを
> 動かしてくれるな、といっても無理があると思いますから、
> shell なし + cgi 不可 + safe_mode でしょうか?

httpd.conf の設定で、 User webuser  Group webgrp とした場合、
.htaccess の permission を下記のようにすれば、login した他の
user からは読めなくなります。
尤も、mod_perl 等々 GROUP webgrp で動くプログラムから、
ならば読めてしまいますが。

-rw-r-----  1 csl  webgrp    142 11月 29日 08:29 .htaccess
-rw-r-----  1 csl  webgrp   3065 11月 29日 08:38 showenv.php

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
 (株)ソフト工房   近藤直文        Email:  nkon@shonan.ne.jp
http://www.SOFTKOUBOU.co.jp/      http://www.shonan.ne.jp/~nkon/
2002-01-30(木)19:00〜21:45第9回 PostgreSQL業務アプリ分科会勉強会
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/