#php #mysql #xml #https
#php #mysql #xml #https
Вопрос:
Вот моя ситуация:
Я успешно создал простой веб-сервис PHP для извлечения данных из MySQL. У меня есть HTML-страница с jQuery, выполняющая AJAX-вызов для этого веб-сервиса. PHP возвращает XML, который jQuery анализирует и отображает при успешном выполнении. Здесь довольно стандартный материал.
Я провел много исследований по защите XML во время перехода на HTML-страницу. Я не передаю конфиденциальную информацию, однако мне не нравится идея, что информация доступна только для получения во время передачи. Я рассматривал возможность выполнения всех вызовов с использованием https и защиты папки веб-сервиса. Кто-нибудь знает, достаточно ли этого для защиты данных? Я чувствую, что так и должно быть…
Кроме того, этот тип веб-сервиса может в конечном итоге использоваться приложением для iPhone, если это имеет какое-либо отношение к ответу или направлению ответов здесь. Мысли? Спасибо за чтение.
Комментарии:
1. Если это не конфиденциальные данные, зачем беспокоиться о том, что люди прослушивают трафик?
2. Хороший вопрос. Это информация, которую я с трудом собрал, и предпочел бы не просто «раздавать ее» всем подряд. Красиво. Кроме того, хорошей практикой кажется просто планировать защиту этих типов сервисов, когда это возможно.
3. Вы были бы
giving it awayтолько для того, кто сидит в ISP или NSP, отслеживая трафик.. Я сомневаюсь, что кто-то, идущий на такой риск, сочтет вашу информацию такой же выгодной, как номера кредитных карт, SSN и т.д.4. @jnpcl: Вы правы. Я просто чрезмерно параноидальный, что не обязательно является плохой чертой, когда вы разработчик!
5. Обычно я бы согласился, но когда это создает дополнительную работу и накладные расходы для вашего кода, кажется, что это пустая трата времени. 🙂
Ответ №1:
Если вашим пользователям необходимо пройти аутентификацию при использовании веб-сервиса, и это выполняется по протоколу https, и передача xml также выполняется по протоколу https. Эта часть передачи безопасна и не может быть прослушана.
Если вы подключаетесь к своему серверу mysql в частной сети или также блокируете внешний доступ к серверу mysql, тогда все должно быть безопасно (небезопасные сценарии не принимаются во внимание)
Комментарии:
1. На данный момент я не требую никакой аутентификации пользователя, поскольку мы говорим о простом возврате информации из поискового запроса MySQL DB, выполняемого веб-сервисом PHP. Это подтверждает мое подозрение, что HTTPS было бы достаточно для защиты этого типа простого общения. Ответы, найденные в большинстве сообщений на этом сайте (или в Google), дают ответы типа «невозможно» или «не может быть выполнено». Я нашел это довольно странным, когда HTTPS казался надежным, очевидным решением.
2. Следующий вопрос: Кто-нибудь знает, что если вы используете jQTouch и в конечном итоге решите перенести его в приложение для iPad, можете ли вы по-прежнему выполнять https-вызовы на свой веб-сервис без какой-либо помощи xcode? Я бы предположил, что вызов https не будет работать, как только он перейдет в форму «приложение», поскольку нет способа защитить само приложение на телефоне пользователя без вызовов xcode. Есть идеи?