Спасибо! Пока разберёшь ваш запрос, многому научишься ) Только где-то какая-то неучтённость, потому что есть несостыковка сообщений и времени их добавления в базу
TheAndrey7, вопрос не в том, чтобы обезопасить данные от хака извне, это само собой разумеется. Вопрос был в том, чтобы не светить паролем перед другими разработчиками, которые придут на смену текущим. База данных и прочие конфиденциальности, конечно, идут новым разработчикам в работу, здесь без вопросов.
Гетом отправить ошибку на сайт веб-студии для последующей обработки, ясно.
В принципе, вариант делать обработку на стороне другого сервера отличная идея, её и высказал vokskela выше.
А гетом, курлом или файлгетконтентсом уже второе дело. Но спасибо за ваш комментарий!
psiklop, хорошая идея, подобное предложил vokskela в комментариях к первому вопросу.
Это самый оптимальный вариант. Но в итоге наверное на своём сервере всё таки высылать эл. почтой ошибку на акк. админа.
humoured, так и делаем, почта отправляется с сайта через почтовые аккаунты заказчика, как и положено. Но на случай возврата почтовым скриптом ошибки отправки я посылаю отчёт об ошибке уже с почтового аккаунта нашей веб-студии, чтобы исключить проблему с почт. аккаунтом заказчика. Ведь если проблема с почтовым аккаунтом заказчика, то я не смогу отправить себе отчёт об ошибке, поэтому мы и используем дополнительный вариант отправки - через свой собственный почтовый аккаунт.
shurshur, не совсем понял решение, в принципе мог бы разобраться, но по всей видимости это можно провернуть на выделенном сервере. Мы оформляем на заказчиков аккаунты на обычных виртуальных хостингах, где далеко в настройки не пройдёшь, да и выделенный IP заказчикам обычно не требуется, тем более он идёт за отдельную плату.
AUser0, да можно, конечно. Но заказчик ведь полностью управляет созданием ящиков на своём домене. У меня нет доступа к ящику, на который делегирован домен. Думаю заказчику проще отправить мне новый пароль, чем создавать новый тех. ящик.
Меня интересует безопасность своих собственных паролей, которые приходиться размещать в коде на сайте заказчиков.
Вот буквально сегодня заказчик пишет о том, что его посетители жалуются, что у него форма на сайте не отправляется. По логу, который по факту возникшей ошибки был отправлен с его же сайта, но уже через акк веб-студии, я вижу, что не прошла аутентификация. Выяснилось, что заказчик поменял пароль на технический почтовый ящик, который используется исключительно для отправки сообщений с сайта. При этом заказчик принципиально самостоятельно управляет всеми почтовыми аккаунтами, я даже не знаю сколько их, и их паролей тоже не знаю. Этот сегодняшний случай и послужил тригером, чтобы я пошёл задавать вопрос на хабре.
psiklop, реальная ситуация такая - почта отправляется с сайта через почтовые аккаунты заказчика, как и положено. Но на случай возврата почтовым скриптом ошибки отправки я посылаю отчёт об ошибке уже с почтового аккаунта нашей веб-студии, чтобы исключить проблему с почт. аккаунтом заказчика. Получается, что доступ к почтовому акку веб-студии светится в коде, что меня как-то угнетает )
vokskela в комментариях к первому ответу предлагал вариант с паролями для приложений. В принципе, вариант. Потом он предложил направлять скрипт отправки почты через другой сервер, где и будет храниться пароль - вот это дельное предложение.
Выставление прав и владельца на файл не спасёт от прямого доступа через аккаунт хостинга.
vokskela, договор не спасает от утечки. По факту утечки в ход идёт претензионно-исковая работа на основе договора и виновник будет наказан, но утечка уже произошла.
.