[php] veilige server -> server post

volgens mij is het wel redelijk veilig, maar als mensen deze data sowieso willen weten is er wel een manier te bedenken om er toch achter te komen.
je zou kunnen gaan denken in encryptie en/of private en public keys, maar denk dat dit niet echt noodzakelijk is.

Gebruik een PGP-achtige encryptie (dus met een key die alleen de servers weten). Of SSL ook veilig is zou ik niet weten, weinig (=geen) ervaring mee.

Verder natuurlijk het IP van de server checken, maar dat spreek voor zich.

Zie: http://nl2.php.net/manual/en/ref.mcrypt.php

[ Voor 13% gewijzigd door ixi op 17-11-2004 01:02 ]

Gooi bijv. een VPN verbinding bij de beide servers los en zorg dat die veilig is ingesteld. VPN gebruikt volgens mij ook public/private key encryptie. Dit is denk ik het meest veilige.

En als je helemaal paranoia bent, gooi dan nog een SSH verbinding over je VPN

Als je dit graag via een webserver wil doen en je hebt al SSL geconfigureerd, dan lijkt me dat de perfecte combinatie. Communicatie via SSL is zeker veilig, als je het certificate van de server controleert. (De server gaat niet zomaar anders worden, dus die kun je gewoon hardcoden.) Controleren op IP-adres ofzo is dan ook overbodig.

Verwijderd schreef op dinsdag 16 november 2004 @ 23:34:
Hoe kan ik dit 100% veilig opzetten? De server aan de andere zijde serveert webpagina's via ssl. Kan ik mijn informatie via een PHP script aan mijn zijde doorgeven op een volgende manier (https://www.server2.nl/pagina.php?veiligeinfo=100 )

yep, werkt prima

Als het gaat om een paar waarden is jouw idee prima en eenvoudig uit te voeren. Zodra je meer informatie wilt uitwisselen zou je kunnen overwegen xml (soap) te gaan gebruiken.

Verwijderd schreef op woensdag 17 november 2004 @ 12:49:
SSL is al ingericht op de ontvangende server.
Maar hoe kan ik dit praktisch implementeren in mijn versturende PHP-script?
Iemand een voorzet?

Als je curl gebruikt kan je die ook op certificate testen bij een ssl-verbinding. Deze weigert dan ook indien het certificaat verlopen, niet correct of self-signed is.

Die fopen-wrappers werken inderdaad ook prima. Encryptie gebeurt op SSL-nivo, dus daar heeft je PHP script helemaal niets mee te maken. Je kunt de gegevens gewoon gebruiken alsof het een gewone HTTP-post was (wat het feitelijk ook is).

Als je een werkende HTTPS server hebt, hoeft de client geen keys of iets dergelijks te weten. De gecodeerde verbinding wordt op protocolnivo geregeld. De client verbindt met de server; de server stelt een codesleutel voor en ondertekent die met zijn SSL-certificaat, de client gebruikt vervolgens die codesleutel en weet zeker dat alleen de server die kan decoderen. De kern van het verhaal (wat betreft veiligheid) is dus dat de client het certificaat van de server moet vertrouwen. Die kun je hardcoden of valideren via een trusted certificate authority (trusted CA).

Als je het niet nodig vind het certificaat te verifiëren, dan kun je in PHP gewoon met een fopen-wrapper de request uitvoeren, alsof het een gewone HTTP- (dus geen HTTPS-) verbinding was. Dan ben je dus beveiligd tegen het afluisteren door derden, maar niet tegen een man-in-the-middle attack.

[ Voor 21% gewijzigd door Soultaker op 18-11-2004 16:25 ]