Certyfikat SSL

Question

Hejka,

Mam pytanie odnośnie SSL, załóżmy że zrobię sam stronę gdzie trzeba podać np dane osobowe, czy jako programista muszę coś robić żeby w plikach PHP ten certyfikat chronil czy wystarczy że jest włączony na stronie ?, Tzn jest kłódka i pisze że strona jest bezpieczna

Answer 1

Włączenie SSL to jedno, to daje szyfrowane połączenie, ale zabezpieczenie danych to osobna kwestia... Powinieneś odpowiednio zabezpieczyć API przed niepowołanym dostępem, różnymi atakami, wyciekami itp.

Comments

Wiem ale chodzi mi o sam ssl, czy trzeba jakieś funkcje uruchamiać czy sam certyfikat jakoś zabezpiecza ?

---

ale o jakich ty funkcjach myslisz i jakich zabezpieczeniach... wiesz czym jest ssl :)? na wielu hostingach możesz sobie wymusic ssl i nie interesują Cię już żadne przekierowania, tylko w api ewentualnie musisz popatrzeć czy masz dobrze ustawione cors itp.

A zabezpieczenie API to w ogóle osobna kwestia... mozesz np. miec sobie ssl ale jak w api dajesz allow na * to bez problemu można się dobrac do endpointow... ale to tylko jedna z opcji, poczytaj generalnie o zabezpieczeniach api.

---

SSL zapewnia Ci tylko szyfrowane połączenie klient-serwer, Ty musisz jeszcze zadbać o to żeby same wrażliwe dane na serwerze były szyfrowane,hashowane myślę że bcrypt albo nawet md5crypt będzie odpowiedni.