Witam,
Chyba każdy z nas zna teorię bezpiecznej strony, jednak chciałbym dowiedzieć się troche więcej o praktyce.
Serwis będzie przechowywać pewne poufne dane, jak się zabezpieczyć? Jak to wyglada technicznie?
Mam serwer który umożliwia instalacje certyfikatu i połączanie ssl, tylko co dalej?
Wykupuje certyfikat, instaluje i w skryptach tylko sprawdzam czy połączanie jest szyfrowane?
Sprawa jest prosta. Sam jakiś czas temau robiłem skrypt rejestracji domen, gdzie wymagana była poufność przesyłanych danych. A więc pierwsza sprawa, aby mieć ssl musisz mieć stałe ip na serwerze i wystarczy wtedy tylko wygenerować względem niego odpowiedni klucz. Po tym zabiegu strony https:// będą juz działały. Certyfikat mozna wykupić ale nie trzeba. Jeżeli nie wykupisz to zawsze jak ktoś wejdzie na strone kodowaną ssl będzie miał znane wyskakujące okienko przeglądarki. Jak wykupisz to nie będzie takiego problemu. Teraz jeżeli chodzi o tworzenie skryptów na takiej stronie. Sprawa jest banalna, bo skrypty tworzysz takie same jak bez kodowania. Bo to przeglądarka i serwer dbają o poufne przesyłanie danych. Nawet specjalnie odpaliłem sniffera, żeby to sprawdzić i nie dasz rady odczytać danych, bo są po prostu szyfrowane. Strona taka z jasnych przyczyn też nie będzie przeglądana przez roboty sieciowe (wyszukiwarki i innych).
Trzeba pamiętać, że taką strone można też obejrzeć przez adres nie zakodowany http://, dlatego sam musisz zadbać o sprawdzenie i wrazię czego zrobić przekierowanie. Ja wykorzystuje taki sposób:
if (!isset($_SERVER['HTTPS']) || strtolower($_SERVER['HTTPS']) != 'on')
{
header ('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
header ("HTTP/1.0 307 Temporary redirect");
exit();
}