Autor: gmail Datum: To: hackmeeting Betreff: [Hackmeeting] problema con dati sensibili
ho messo su un sito per ricevere gli update degli status di Twitter
direttamente sul cellulare e sulla mail, ma ho un dilemma che vorrei
sottoporvi;
per accedere agli account Twitter degli iscritti ovviamente devo avere i
loro username e password in chiaro, ma salvarli così come sono nel database
non mi sembra sicuro..
per evitare che qualche attaccante possa impadronirsi di questi dati ho
pensato di implementare un meccanismo di cifratura diviso in due parti:
1) password cifrata & una delle due chiavi di cifratura nel database
2) seconda chiave di cifratura contenuta direttamente in un file PHP
così anche se si riuscisse a fare SQL Injection non si ariverebbe comunque
a ricostruire la password in chiaro senza avere accesso ai sorgenti dei
file..