我编写了可在 iPhone 和 Android 上运行的应用程序。他们对我的 Ubuntu 服务器上的 PHP 脚本进行调用(HTTP POST 请求),该脚本从那里的 MySQL 服务器检索查询等。
基本上我想加密这些来回的消息。 我在共享主机上有额外的限制,因此在我的服务器上没有 root(或 sudoer)访问权限。
实现这一点的最佳方法是什么?我不想要我必须为证书支付威瑞信的东西(我对安全性知之甚少)。我认为它会以某种方式涉及公钥/私钥方案,但我不确定什么是最好的方法。
有什么想法吗?谢谢。
【问题讨论】:
标签: php android iphone security encryption
如果您使用的是共享托管服务器,那么保护您的密钥免受其他用户的访问可能会有点挑战(而且,取决于提供商的设置,这是不可能的)。另外,重新发明加密轮通常是个坏主意。所以我不会走那条路,特别是如果你不了解安全性的话。
最简单的解决方案是使用 SSL。如果您真的不想从 Verisign(或 Comodo 或其他任何人)获得证书,请使用您的提供商的默认 SSL 证书。如果他们设置了一些东西,以便您的 SSL 服务器将使用https://www.YourHostingProvider.com/ 的证书,那么您应该能够完成这项工作,也许需要做一些功课。 (MediaTemple 就是这样设置的,如果您没有自己的证书,您可以在其中获得他们的证书。不确定其他托管服务提供商。)
请尝试让自己了解以便宜的价格进行此操作所涉及的高风险。例如,根据设置,共享托管服务上的其他任何人都可能冒充您的网站,只要他们足够熟练和坚定,因为他们可能有权访问您正在使用的同一个 SSL 私钥。
如果您要获得游戏高分或其他什么,那可能没问题。如果您要保护信用卡号码或人们的个人健康信息,这绝对是不是的方法。您不想将此类信息存储在共享托管服务上,而且您绝对不想因为资源匮乏而不愿购买 SSL 证书。
【讨论】: