alexa verde
¿Le preocupa que su proveedor de alojamiento web tenga acceso a todos sus archivos y pueda descargar esencialmente toda su aplicación web? ¿Qué medidas puede tomar para protegerse? Más específicamente, ¿me interesa saber cómo proteger los desarrollos personalizados que he realizado en un sitio potenciado por WordPress?
Peka
¿Le preocupa que su proveedor de alojamiento web tenga acceso a todos sus archivos y pueda descargar esencialmente toda su aplicación web?
No.
¿Qué medidas puede tomar para protegerse?
Ninguna.
Si no puede confiar en su servidor web, está condenado y necesita cambiar de proveedor de inmediato. Es imposible proteger un sitio web de los administradores que mantienen el servidor en el que se ejecuta.
Es como si fuera una empresa que contrata a un tenedor de libros o un administrador de sistemas: no pueden hacer su trabajo si no tienen acceso a los registros financieros de la empresa oa los sistemas informáticos, respectivamente. Tienes que poder confiar en que esas personas no robarán los secretos de tu empresa.
¿Me interesa saber cómo proteger los desarrollos personalizados que he realizado a un sitio potenciado por WordPress?
No es para menospreciar el valor de tu trabajo y todo eso, pero lo más probable es que a nadie le importen. Hay mucho más en un desarrollo personalizado que tener el código: también necesita a alguien que entiende y puede trabajar con él. No creo que el robo de código de las plataformas comerciales de alojamiento sea un gran problema.
-
Más una respuesta de filósofo que inteligente. Si no puedes confiar en la humanidad, ¿por qué deberías cerrar la puerta de tu casa?
– Víctor Joras
22 de junio de 2019 a las 17:46
-
@Viktor esa no es la analogía correcta. Cierras la puerta con llave porque los extraños podrían hacerte daño. Eso es sentido común. En este escenario, esas son las contraseñas y los cortafuegos que protegen el sitio web. Pero hay situaciones en la vida en las que tener confiar en las personas con las que trabaja hasta cierto punto porque no puede cerrar la puerta de manera significativa u ocultarles cosas o controlar todas sus acciones. El administrador del sistema del servidor en el que aloja cosas es definitivamente una de esas relaciones.
– Peka
22 de junio de 2019 a las 18:20
Puede encriptar sus aplicaciones usando varios motores de encriptación como Zend para PHP. O siempre puede ofuscar su código antes de cargarlo en su proveedor de alojamiento web.
-
Webhost necesita admitir el descifrador para el motor de cifrado y la ofuscación es nunca cualquier tipo de seguridad (o lo que sea). Es solo una pérdida de tiempo.
– KingCrunch
22 de agosto de 2011 a las 21:53
-
@KingCrunch mmmm, no del todo. El cifrado/ofuscación al menos se aseguraría de que no haya usable código en la máquina host. Esta no es una sugerencia tan mala para PHP y JS al menos
– Peka
22 de agosto de 2011 a las 21:55
-
Cuando no se puede usar, ¿por qué debo ponerlo en la máquina? 😉 Jeje, sé lo que quieres decir. #cifrado: no lo sé ningún webhost, que lo soporta. Funcionaría, si fuera compatible, pero en la mayoría de los casos no lo es. #Ofuscación: Tal vez, pero con el soporte IDE moderno no es realmente una desventaja.
– KingCrunch
22 de agosto de 2011 a las 21:59
-
La única y correcta respuesta.
– Víctor Joras
22 de junio de 2019 a las 17:50
Si no confía en su servidor web, no los uses.
Es imposible asegurar el código contra un enemigo que posee el hardware y tiene permisos administrativos en el servidor.
-
¿Cómo les va a las grandes empresas como FB o Microsoft con miles de empleados husmeando? Vamos, no seas ingenuo
– Víctor Joras
22 de junio de 2019 a las 17:49
-
@ViktorJoras: Las grandes empresas tienen controles de acceso que evitan que los empleados accedan a los datos de los usuarios sin justificación comercial (esto puede ser requerido por ley para cosas como HIPAA).
– SLaks
24 de junio de 2019 a las 14:08
-
No es verdad. FB usa una variante de PHP personalizada que se compila antes de ejecutarse. Sin mencionar los módulos escritos en C++. Twitter usa Scala, que nuevamente está precompilado. Los desarrolladores de MS tienen acceso solo a su alcance de desarrollo, todo lo demás es solo binario. Sin código fuente en el almacenamiento compartido de empleados. La pregunta OP es muy clara y él también merece una respuesta muy clara.
– Víctor Joras
25 de junio de 2019 a las 2:25
-
@ViktorJoras: El OP pregunta sobre el código del cliente en un host, no sobre el código interno.
– SLaks
25 de junio de 2019 a las 14:22
-
No, el OP pregunta cómo proteger el código PHP expuesto.
– Víctor Joras
25 de junio de 2019 a las 14:27
No hay nada que pueda hacer para evitar que su servidor web pueda ver sus archivos. Después de todo, es su servidor y tienen acceso de root.
En general, a nadie le importa su sitio de alojamiento compartido lo suficiente como para hurgar en el código. Lo siento, pero es verdad. Si crece lo suficiente como para que importe, ejecutará sus propios servidores a los que solo usted tiene acceso.
La mejor defensa contra los anfitriones que pueden hacer algo incompleto es buscar reseñas del alojamiento y solicitar recomendaciones de amigos y otros colegas de confianza.
Déjalos, cuando no confíes en ellos. los solamente manera de De Verdad asegúrese de que nadie más pueda acceder a sus archivos/datos, es decir, que no le dé sus archivos/datos a otra persona.
– KingCrunch
22 de agosto de 2011 a las 21:49