Cześć, mam do was pytanie odnośnie zabezpieczania wysyłania danych z np. formularza na stronie.

Z tego co wiem najlepiej w tym celu jest użyć SSL, dlatego wybrałem w tym celu bibliotekę phpMailer.

Zrobiłem to tak:

w pliku PHP :

[PHP] pobierz, plaintext 
<?php
require("phpmailer/class.phpmailer.php"); 
$mail = new PHPMailer(); 
 
$mail->PluginDir = "phpmailer/"; 
$mail->From = "adres@mail.pl"; 
$mail->FromName = "Autor maila"; 
$mail->Mailer = "smtp"; 
$mail->Username = "adres@mail.pl";  //login do konta SMTP 
$mail->Password = "haslo";  //hasło do konta SMTP 
$mail->IsSMTP(); 
$mail->SMTPAuth = true;  
$mail->SMTPSecure = "ssl"; 
$mail->SetLanguage("pl", "phpmailer/language/");  //jezyk  
 
$mail->IsHTML(true); 
$mail->CharSet = "iso-8859-2"; 
 
$mail->Subject = "Tytul maila";  //tytul e-maila 
$mail->Body = "{tresc maila}". 
 
$mail->AddAddress("jan@kowalski.pl","Jan Kowalski"); //adres odbiorcy odbiorcy 
 
$mail->Send(); // wysylanie
?>
[PHP] pobierz, plaintext 

natomiast w pliku .htaccess wpisuje na samym poczatku:

Kod:



Czy moja metoda jest prawidłowa? Poprzez formularz wysyłane będą dane osobowe. Jeśli coś robię źle bardzo bym prosił Was o pomoc co poprawić.

PS. Jeszcze zapytam, czy używając SSL istnieje możliwość przechwycenia takiego maila?

Eeeee, mylisz bajki.

htaccess nie ma nic wspólnego z wysyłaniem maili.


Nie ma sensu zabezpieczania połączenia z SMTP, gdyż nie musi być jedynym przekaźnikiem poczty. Listy wędrują przez wiele serwerów i nie wszystkie muszą mieć włączoną obsługę szyfrowania połączeń.


Patrz: wyżej.

Jak już tak bardzo się boisz przechwycenia treści, zainteresuj się PGP/GPG.

aha... hm.... czyli na nic zda się to, ze "włączę" obsługę SSL poprzez .htaccess (wtedy strona uruchomi się jako https://...) ?

Tak ogólnie rzecz biorąc czy byście polecali wysyłanie maili poprzz SMTP ? bo poprzez zwykłą funkcję mail() raczej odpada...

Jeśli wszystko będzie szło przez SSL to jak najbardziej. A to że chcesz przesyłać form również po szyfrowanym chwali się. Nawet znaleźć duże sklepy z takim "bajerem" jest ciężko. W dobie gmaila i innych zewnętrznych serwisów smtp to norma.

Połączenie SMTP nie będzie zawsze szyfrowane.


Zależy jeszcze, co. Bo wszystkiego szyfrować nie ma sensu.

Formularze logowania i rejestracji powinny być ustawowo jakoś regulowane dla podmiotów gospodarczych Jakiś czas temu GIODO przeprowadził kontrole i wynik był mizerny (później zrobił się jeszcze szum z naszą klasą to przynajmniej do niektórych dotarło jak łatwo mogą stracić dane).
A czemu nie dla całej strony? Narzut na obsługę kluczy przez serwer nie jest znowu taki wielki, na 64 bitach zwłaszcza, a odpada problem ciasteczek z flagą secure (kolejna sprawa o którą ludzie nie dbają).

Zdziwiłbyś się właśnie. Dlaczego np. mają być szyfrowane strony statyczne-publiczne i GFX dla strony?

Negocjacja połączenia SSL zżera sporo mocy, do tego - osiągane transfery są niższe. I tu nie ma znaczenia, czy 64, czy 32 bity - możesz mieć i kilobitową architekturę () - to nie ma znaczenia.

Zapraszam do lektury modelu ISO/OSI z omówieniem + specyfikacja SSL.


Problemy się rozwiązuje, a nie omija.

czyli reasumując co powinienem zmienić w moim kodzie aby było ok ?

Reasumując lepiej napisz, co jest nie tak i co KONKRETNIE chcesz osiągnąć.

Strony statyczne, obrazki itp choćby ze względu na politykę nagłówków powinny być serwowane ze static.costam.tld.


Przy ciągle zwiększającej się mocy procesorów (czy nawet już jakieś coraz bardziej udane próby dłuższego działania procesorów kwantowych) bezpieczeństwo wygrywa. Co do 64 bitów - no nie żartuj. Masz pierwszy z brzegu link http://www.mips.com/media/files/white-pape...eds%20RSA4x.pdf , dokumenty intela to też ciekawa lektura, nie chce mi się szukać teraz.


Tzn? Albo masz SSL, albo nie masz. W jaki sposób to niby omija problem?

Ale większość tego po prostu nie robi. A szkoda.


Kwantowych? Jeszcze dużo wody w Wiśle upłynie. IE8 już jest finalne, a nie wszyscy go mają.


Bo wszystko do jednego wora wrzucasz. Ale ze static - już ok.

no ogólnie bym chciał abyście przejrzeli kod, który wrzuciłem i powiedzieli czy jest bezpieczny, lub jeśli można go bardziej udoskonalić to to napisać, byłbym bardzo wdzięczny pomoc

Audyt bezpieczeństwa jest usługą, zapraszam na giełdę ofert.