0
我用一個簡單的緩存庫我寫的,從而節省了我希望有緩存,爲在/ var/WWW/my_site /緩存文件中的數據/緩存文件:如果它們必須具有寫入權限,那麼如何保護它們?
給大家這個目錄具有讀/寫權限,因此Apache進程,由用戶apache執行,可以CRUD緩存文件。
但是後來我認爲以這種方式緩存敏感數據是不安全的,因爲讀/寫權限。假設我有一個複雜的ACL系統,並且緩存每個用戶的權限,讓他們只計算一次。攻擊者可以編輯相應的緩存文件以授予他對網站的完全訪問權限。
我能想到的唯一的辦法是加密的緩存文件,但這會慢下來(使用高速緩存仍然會比不使用速度更快,但仍..)
任何想法?
加密緩存文件只會增加另一階段的「安全」被繞過。如果有人可以闖入緩存文件並進行編輯,他們當然可以獲取您的代碼並讀出密鑰和加密方法。 – 2011-01-14 05:28:21
@Marc B感謝您的注意。 – HappyDeveloper 2011-01-14 05:30:13