我对此进行了大量研究,但似乎找不到确切的答案。显然,如今,安全已成为一个大问题,在遍布数百万美元的大型公司中,黑客行为无处不在,并且仍在遭受黑客攻击。
我经常在Laravel上工作,并与Hostgator或一些知名度较高的公司使用共享托管。Laravel带有内置功能,用于对数据库信息进行加密并在请求时解密给用户。
但是,我对这实际上有多安全有疑问。如果有人进入我的cPanel,我的用于加密的应用程序密钥就在他们面前。当然,我的cPanel密码是由Hostgator自动生成的密码,它完全是胡乱的,到处都是分号和字母数字字符串,所以不容易猜到。
但是,我正在尝试进一步了解安全性。如果我env
文件中的应用程序密钥被安全地锁定在cPanel登录名后面,Laravels是否内置了“ encrypt()
”方法“足以”调用应用程序“安全”?Laravel或我的主机提供商中是否还有其他措施可以使它比仅使用严格密码更安全?是否存在通过不在cPanel区域中的外部源引用应用程序密钥的某种做法?因此,即使我的cPanel被黑了,我的应用密钥也不会出现在那些文件中并被公开吗?
我不是安全专家,但是根据我在高度安全的公司工作的经验,我可以分享几点。
首先,Laravel本身很好。通常,您可以信任开源软件,因为它是透明的,并且可以早日发现并解决安全漏洞。因此,您不需要改进Laravel,只需按原样使用它,最好是LTS版本。
那么,CPanel是负债。您应该最小化系统上的弱点,即可以从外部访问的弱点。获取VPS或专用服务器并通过SSH访问它,请勿在其上使用CPanel和PhpMyAdmin之类的工具。与外界交流的软件越少,您对该软件中的错误的脆弱性就越小。
在我目前的公司中,只能通过SSH从单个IP地址(开发服务器的地址)访问生产服务器。因此,我首先登录到开发服务器,然后从那里登录到产品。它拒绝来自所有其他IP的所有连接。
如果您被限制使用CPanel或类似工具,请考虑使用HTTP Basic Auth保护登录页面,某些托管服务提供商允许这样做。
您还希望使系统和软件保持最新。也不是太新,因为可能还没有发现错误。我们的开发人员更喜欢将其提供一些次要版本,以便社区有时间对其进行测试并为您服务。
作为Web开发人员,这就是我所知道的,当然,有足够的特殊工具和ddos保护服务,但这已超出了imo开发人员的关注范围。如果只是按照以下步骤操作,那应该很安全。希望能有所帮助,加油:)
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句