Proteggere pagina .php

[ombra]

Ciao ragazzi,
devo fare una pagina .php che salva dei dati moooolto importanti sul database (sono praticamente delle password)

Questi dati verranno ovviamente crittografati, e le pagine gireranno sotto SSL....

Però ho un dubbio, supponendo di avere:

1. pagine sicure per via SSL

2. dati crittografati sul db con il miglior algoritmo (pensavo AES)

Ma alla fine... se uno apre la pagina .php in due secondi prende la chiave che utilizzo per crittografare e tutto si smonta.

Ovviamente entrare su un server e leggere il codice delle pagine php è robba da professionisti, però alla fine se si pensa all'SSL e alla crittografia, mi domando....ci sarà qualcosa per proteggere il sorgente o per "nascondere" la chiave di codifica?

Grazie!

[Dascos]

Un accesso fisico al server è impossibile da proteggere.
Se qualcuno riesce ad avere accesso al file system e al computer (server o client che sia) non c'è scampo, potenzialmente può prendere tutte le pass che vuole e fare tutto quel che gli pare, se la crittografia si basa su chiavi memorizzate da qualche parte nel computer.
Per evitare problemi anzichè usare AES (che ha la debolezza nella chiave) usa unalgoritmo a senso unico come MD5 o SHA-1. Per verificare se una password è corretta, non decripti l'hash MD5 o SHA-1 (cosa formalmente impossibile) ma cripti la password in ingresso e confronti con la password salvata. eventualmente prevedi l'uso del "sale"...

La sicurezza di SLL non ha nulla a che fare con la sicurezza del server. SLL protegge solo la comunicazione, in modo che sia virtualmente impossibile decifrare o alterare ciò che viene trasmesso tra server e client.

Per nascondere il sorgente esistono delle estensioni (tipo Zend Guard) che fondamentalmente criptano il sorgente, ma anche qui la debolezza è nella chiave di criptazione...se si ottiene la chiave si decripta senza grossa fatica.