Хранение конфиденциальных данных в MySQL для Twitter

Question

Я внедряю функцию Auto-Twitter на свой веб-сайт, которая позволяет пользователям автоматически публиковать контент в Twitter, аналогично функции YouTube «AutoShare».

Это означает, что мне нужно хранить учетную запись Twitter.информация в базу данных, которая является очень конфиденциальной и серьезной информацией.

Я хочу обеспечить максимальную безопасность для своих пользователей, это означает, что мне нужно будет найти способ зашифровать данные в моих таблицах SQL, хотя все ещепозволяя зашифровать данные из SQL обратно в открытый текст.

Использование PHP - какой самый безопасный и эффективный способ добиться этого?

Спасибо.

Answer 1

Вы НЕ должны хранить имена пользователей и пароли Twitter (вы даже не можете использовать эти данные для API). Используйте OAuth API Twitter, чтобы пользователи авторизовали ваше приложение.

Answer 2

Пока скрипты и MySQL работают на одном сервере, шифрование не очень поможет.

Если в PHP включена поддержка mcrypt, вы можете теоретически использовать его для шифрования данных.Но вам нужно: 1) хранить ключ где-нибудь небезопасно, 2) загрузить его в память.Это поможет в самом простом случае украденной базы данных, но все еще небезопасно.Это не вариант.

Твиттер предлагает аутентификацию с OAuth, которая позволяет вам войти в систему, где пользователям вообще не нужно делиться своим паролем с вами:

http://dev.twitter.com/pages/oauth_faq

Используйте его для подключения к твиттеру.А также для всех других служб, которые предлагают поддержку для него.

Answer 3

Прежде всего, используйте протокол https, а не http.

Также используйте md5 или SHA для шифрования пароля.

Я бы также зашифровал имена пользователей, электронные письма и все остальное с помощью алгоритма шифрования, который может быть расшифрован только вами.

Скройте свою базу данных mysql за DMZ, а также разместите ее отдельно от сервера веб-сервера / php.

Вот мои несколько идей