Ich werde Apache zur besseren Sicherheit so konfigurieren, dass PHP-Skripte überprüft werden, die mit meinem Schlüssel signiert sein sollten. Ist das möglich? Und ist es möglich, nicht signierte Dateien nicht bereitzustellen?
Antwort1
Im Wesentlichen verlassen sich Apache und PHP auf die Zugriffskontrollen auf Betriebssystem- und Dateisystemebene, um die Integrität Ihrer Dateien, Skripte und Ihres Codes zu schützen.
Dabei wird davon ausgegangen, dass Sie größere Probleme haben, wenn diese von nicht autorisierten Benutzern umgangen werden. Sie können sich nicht darauf verlassen, dass das System sich der Manipulation bewusst ist, und sollten das gesamte System als gefährdet betrachten. (Und Versuche, die Integrität Ihrer Dateien, Skripte und Ihres Codes vor vertrauenswürdigen Benutzern zu schützen, gelten normalerweise als aussichtslos.)
PHP hat keine native Unterstützung fürCode-Signierung, vermute ich, weil diese Art von Technologie in Open-Source-Ökosystemen nicht wirklich gut funktioniert und auf geschlossenen Plattformen viel besser gedeiht.
Wenn ich mich recht entsinne, damals "Zend Guard" war eine Sache für signiertes und verschlüsseltes PHP, die auf einem benutzerdefinierten PHP-„Modul“ basierte, um die Ausführung des verschlüsselten PHP zu ermöglichen. Aber das wurde nie über PHP 5.6 hinaus portiert.
Soweit ich weiß, gibt es derzeit mehrere PHP-Encoder/Obfuscatoren, die das Reverse Engineering und erfolgreiche Codeänderungen erschweren sollen, aber nichts, was der Code-Signierung gleichkommt.