Безопасно ли записывать «секретные» данные в txt-файл с именем из кракозябр (например salkgkawj2145lkjsalfkj@24lkjl), который открыт для чтения?

Question

[Василий Петров]

Через php принимаю и затем записываю некоторые данные в txt файл. Имя его примерно такое: faslkfjasl21412lkjsaflka!42q41lkjflskj.

Этот файл, конечно же, если знать его имя, открыть может хоть кто. Безопасно ли это?

Есть ли какие-то другие способы сохранения данных, не используя БД?

Answer 1

[Alexander]

Не безопасно, вспомним утечки всех СМСок у крупных сотовых операторов лет 5 назад.

Можно хранить в тхт файлах, но раз есть пхп на сервере, то через него и отдавать. То есть "база" из файлов лежит в папке, к которой из вне не попасть, но сам пхп может смотреть папку и вычитывать файлы. Вот этот пхп пускай на время сессии и выдаёт контент файлов. Этот же пхп файл определяет и права на доступ к данным, если там многопользовательский вариант или просто парольный доступ.
Через мод_реврайт, можете симулировать расширение .txt в адресной строке, а через контент тип формат text.

Answer 2

[twobomb]

Ну записывай, только используй хотя бы шифрование с ключём которые знают только доверенные лица.

Comments

[Василий Петров]

Шифрование чего? Записываемых данных?

[twobomb]

Василий Петров, Ну естественно, я так понимаю раз это .txt то вы только текст пишите? Или вы просто пишите поток бинарных данных, но ставите расширение .txt? :D
Шифрование текста PHP

[Василий Петров]

twobomb, текст)

Answer 3

[Konstantin Malyarov]

Если переименовать файл, то расшифровка будет уже невозможна.

Answer 4

[CityCat4]

Любой вопрос с текстом "безопасно ли..." начинается с прото-вопроса "от кого я защищаюсь?". Раз есть "безопасность", значит есть и "опасность", не? Так вот кто представляет "опасность"? Хакер Вася с тырнета? Админ сервера? Товарищ майор?

Answer 5

[Алексей Сергеев]

Секретные настройки, ключи и пароли нужно писать в переменные окружения.

Answer 6

[DVoropaev]

в случае компрометации сервера данные не будут защищены

Answer 7

[marataziat]

Используй uuid в имени файла и отгадать его будет невозможно :) Но это только если ты выключишь directory listing на сервере конечно.

По такому принципу работают многие CDN! Например если ты посмотришь url превью видео на ютубе то увидешь что юрл очень длинный и непредсказуемый. Даже если это приватное видео то url на превью во вкладке инкогнито будет виден!