1. ホーム
  2. 質問と答え
  3. WordPressプラグインと一方向の暗号化

WordPressプラグインと一方向の暗号化

2012-05-02 18 views
0

私は誰かが何かを並べ替えるのを手伝ってくれることを望んでいました。私はかなり長い間WordPress用のショッピングカートプラグインに取り組んできました。私は2008年の終わりにそれをコーディングし始めました(そして、 "時間があるときにはそれに取り組む"プロジェクトの1つで、非常に遅く、明らかに遅いです)!何人かのテスターが私にそれを連れてきて、フィードバックをくれました。WordPressプラグインと一方向の暗号化

とにかく、2010年には、PCI/DSSのすべてのものが標準化されたとき、私はそれを棚上げしました。そして、私はそれを棚上げしました。プラグインはデータベース内の特定の情報を保持することを目的としていたため、「機密データ」として認定されたものを100%確信していなかったので、誰かを妥協する可能性のあるものを外に置いて欲しくなく、 。

最後の数週間、一部の同僚と私はPCI/DSS準拠について議論していました。このプラグインを最終的に終わらせることに再び関心が寄せられました。私はクレジットカード番号とその性質のデータを削除するつもりですが、このプラグインを使用する可能性のあるサイトでアカウントを作成したいと思う人の名前と配送先住所を保管する考え方が好きです彼らが再び買い物をすると、その種の情報は保持されます。覚えておいてください、保存されたデータは公開情報です - あなたが電話帳で見つけることのできる種類、または裁判所の記録室でのピークを念頭に置いてください。だからSS#、病歴やクレジットカード番号を保存するようなものはありません。誰かに過去の購入を見せたり、将来のチェックアウトプロセスをもっと簡単にするための情報を残したりするだけのもの。

私の同僚の一人は、サイトの所有者が使用する支払いゲートウェイに名前と配送先アドレスが渡される可能性があるため、セキュリティを少し強化することを依然として提案しました。彼らは私が「一方向の暗号化」を使うことを提案した。さて、私は巨大なセキュリティフリークではありませんが、これは塩分などでMD5ハッシュのようなもの(1つの側面はとにかく)が関係していると確信しています。私のコードでこのようなことをどうやって使うのか、またそのようなデータをPayPalやGoogle Checkoutに渡すときにうまくいくかどうかを見極めることができないので、これは私を混乱させます。またはMalの、または何を持っています。

これは「私にはコード例が必要」ではないと思われますが、「私は一種のダンスなので、私を啓発してください。 (ショッピングカートプラグインLOLを書いているという事実について人々はもっと気分を良くしてくれるはずです)

出典

2012-05-02 Shelly

答えて

0

一方的な暗号化は、データベースに情報を保存するために使用されます。データベースの暗号化されていない段階(したがって、一方向のモニカ)で再び使用されます。より一般的な意味では、2つの異なる人(またはシステム)が同じデータを所有していることを示すために使用することができます。例えば、Gitはハッシュを使ってファイル(実際にはディレクトリ構造全体)が同一かどうかをチェックします。

通常、サイト所有者は実際のパスワードを保持する必要がないため、パスワード(およびクレジットカードでも可)にはハッシュが使用されますが、パスワードユーザによって現在送信されているものは、以前に提供されたものと同じです。したがって、ユーザーを認証するには、暗号化アルゴリズム(MD5、SHAなど)によって提供されたパスワードを渡して、「ハッシュ」を取得します。ハッシュが以前に生成され、データベースに格納されているハッシュと一致する場合、パスワードは同じであることがわかります。

ワードプレスは、塩漬けされたハッシュを使用してパスワードを保存します。データベースにwp_usersテーブルを開くと、ハッシュが表示されます。

このシステムの上位は、誰かがデータベースを盗んだ場合、元のパスワードを取得せず、泥棒がユーザーのFacebookや銀行などのサイトにログインすることができないハッシュ値(ユーザーが同じパスワードを使用している場合)。実際には、ハッシュを使って盗まれたサイトにログインするためにハッシュを使用することさえできません。ハッシュが異なるハッシュを生成するためです。

この塩は、ハッシュに対する辞書攻撃に対する保護の尺度を提供します。共通パスワードとハッシュ値との間のマッピングに利用可能なデータベースがあり、ハッシュ値は、通常使用される一方向ハッシュ関数によって生成される。ハッシュを生成するときに、パスワード文字列の最後にsalt値を付けると(たとえば、パスワードがabc123saltになる)、以前に生成して保存したハッシュ値と比較することができます塩の値を毎回計算します。

未加工のフォームで将来使用する必要がある場合は、アドレスや電話番号(またはその行に沿ったもの)などのハッシュを一方的にハッシュしません。たとえば、チェックアウトフィールドをあらかじめ入力しますログインしているユーザーの場合

ベストプラクティスには、将来電話番号を必要としない場合は、今後必要のないデータを保存しないでください。保存しないでください。決済ゲートウェイから応答トランザクション番号を保存する場合は、これを不正調査のために使用し、他のすべてのデータの保管場所をゲートウェイに任せることができます。

私はMD5対SHA対の相対的なメリットについて議論するために他の人にそれを残しますか?ハッシングシステム。 PHPにはハッシングを行うための関数が組み込まれていることに注意してください。

出典

2012-05-02 19:16:20 Roscius

+0

優秀 - ありがとう!私は、あなたが「応答トランザクション番号を格納する」と言ったことが、実際に私が探しているものかもしれないと思います。ちょっとしたコメントが必要な答えかもしれません。ありがとう、または説明! – Shelly

関連する問題

 関連する問題