¿Es posible que Apache verifique los archivos php firmados antes de usarlo?

¿Es posible que Apache verifique los archivos php firmados antes de usarlo?

Para mayor seguridad, configuraré Apache para verificar los scripts php, que deben estar firmados con mi clave. ¿Es posible? ¿Y es posible no entregar archivos no firmados?

Respuesta1

En esencia, Apache y PHP dependen de los controles de acceso a nivel del sistema operativo y del sistema de archivos para proteger la integridad de sus archivos, scripts y código.
La suposición es que si usuarios no autorizados los pasan por alto, tendrá problemas mayores, no puede confiar en que el sistema sea consciente del hecho de que ha sido manipulado y debe considerar que todo el sistema está comprometido. (Y los intentos de proteger la integridad de sus archivos, scripts y códigos de usuarios confiables generalmente se consideran una propuesta perdida).

PHP no tiene ningún soporte nativo parafirma de código, espero, porque ese es el tipo de tecnología que realmente no funciona bien en los ecosistemas de código abierto y prospera mucho más en plataformas cerradas.

IIRC en el pasado "Guardia Zend" era algo para PHP firmado y cifrado que dependía de un "módulo" PHP personalizado para permitir que se ejecutara PHP cifrado. Pero eso nunca fue portado más allá de PHP 5.6.

Actualmente existen, AFAIK, varios codificadores/ofuscadores de PHP que están diseñados para hacer que la ingeniería inversa y los cambios de código exitosos sean más difíciles de lograr, pero nada equivalente a la firma de código.


información relacionada