Para melhor segurança configurarei o apache para verificar scripts php, que devem ser assinados com minha chave. É possível? E é possível não servir arquivos não assinados?
Responder1
Em essência, o Apache e o PHP dependem do sistema operacional e dos controles de acesso no nível do sistema de arquivos para proteger a integridade de seus arquivos, scripts e código.
A suposição é que, se eles forem ignorados por usuários não autorizados, você terá problemas maiores, não poderá confiar que o sistema esteja ciente do fato de que foi adulterado e deverá considerar todo o sistema comprometido. (E as tentativas de proteger a integridade dos seus arquivos, scripts e códigos de usuários confiáveis são geralmente consideradas uma proposta perdida.)
PHP não tem suporte nativo paraassinatura de código, espero, porque esse é o tipo de tecnologia que realmente não funciona bem nos ecossistemas de código aberto e prospera muito mais em plataformas fechadas.
IIRC de volta ao dia "Guarda Zend" era uma coisa para PHP assinado e criptografado que dependia de um "módulo" PHP personalizado para permitir que o PHP criptografado fosse executado. Mas isso nunca foi portado além do PHP 5.6.
Atualmente existem vários codificadores/ofuscadores PHP AFAIK que são projetados para dificultar a engenharia reversa e alterações de código bem-sucedidas, mas nada equivalente à assinatura de código.