Artur Ejsmont Blog: Wie man richtig einen sicheren Remote-API-Aufrufe über SSL von PHP-Code

Artur Ejsmont hat eine neue Stelle mit einem leidenschaftlichen Aufruf zu den Waffen für alle, dass, nur weil ihre URL hat „https“ in ihm, es zu sichern ist denkt. Er präsentiert seinen Vorschlag auf für Ihre PHP-Anwendung.

Lets make etwas klar von Anfang an: Nur weil es https:// IN DER URL des Remote-SERVICE Es bedeutet nicht, die Verbindung sicher ist! Es tut mir leid für den Ton von diesem Post, aber ich bin wütend über, wie beliebt dieses Problem ist online. Wenn Sie fragen, warum ich ein kleines Experiment vorschlagen [mit, wenn Sie Ihre hosts-Datei und mit einem selbst signierten Zertifikat].

Die Frage er-Strahler ist nur allzu üblich – einen Server serviert SSL-Seiten aber nicht wirklich überprüfen, das Zertifikat in den Prozess. Er gibt ein schlechtes Beispiel dafür, wie einige Skripte behandeln dieses Thema mit dem CURLOPT_SSL_VERIFYPEER und CURLOPT_SSL_VERIFYHOST auszuschalten diese Prüfung – eine sehr schlechte Idee. So schützen Sie sich vor jeder Art von Man-in-the-Middle-oder DNS-Hijack Probleme, sollten Sie diese auf Urlaub.

PHPDeveloper.org

Schreibe einen Kommentar