emissione e lettura di un feed con parametri sicurezza

[Enrico Maria Chellini]

Buon di, ho un ecommerce, a cui vorrei fare emettere un feed dei
prodotti venduti, organizzati per ordine, dove all'interno ci sono
ovviamente i dati del cliente.

Il feed dovrebbe essere caricato in un database con uno script attivato
da cron (leggifeed.php) residente in un altro hosting; il database
potrà essere successivamente utilizzato per la fatturazione elettronica,
scorte magazzino etc.


Problemi:

#1 protezione dello script che lo legge
#2 protezione dati del feed

1# per evitare che qualche burlone si metta a giocare con il file
leggifeed.php , lo metterei su una cartella protetta.
Croon dovrebbe essere sempre in grado di attivarlo lato server giusto?

2#a Cripto il feed e lo decripto su leggifeed.php ( prima o poi me lo
bucano i il calcolo di una criptazione e decriptazione alla lunga credo
richieda troppe risorse,)

2#b inserisco il feed in una cartella protetta (htaccess), c'è il
modo che leggifeed.php residente su un altro server ho hosting, apra la
cartella protetta avendo le credenziali?

Grazie
Enrico

[Enrico Maria Chellini]

Il giorno Mon, 25 Jan 2021 11:37:26 +0100
Enrico Maria Chellini <bi...@bitit.it> ha scritto:


sarebbe perfetto avere una cartella protetta da .htaccess login e
password
/xml

con php avere la possibilità di accedere fornendo le credenziali, per
leggere il contenuto.

[Leonardo Serni]

On Mon, 25 Jan 2021 11:37:26 +0100, Enrico Maria Chellini <bi...@bitit.it>
wrote:

>2#a Cripto il feed e lo decripto su leggifeed.php ( prima o poi me lo
>bucano i il calcolo di una criptazione e decriptazione alla lunga credo
>richieda troppe risorse,)

No, affatto. Ogni volta genera una chiave di 64 caratteri casuali, e cifrala
con openssl e chiave asimmetrica. Il resto del feed e' criptato con AES e la
chiave di cui sopra.

Il ricevente riceve il feed, decifra la chiave con la propria chiave privata
e usa la chiave per decifrare il feed. AES è velocissimo, OpenSSL asym molto
sicuro, e ogni feed sarà criptato con una chiave differente (ovviamente, usi
il random crittograficamente sicuro di openssl).

Per bucarlo, ce ne vuole, di trrrrrapano.

>2#b inserisco il feed in una cartella protetta (htaccess), c'è il
>modo che leggifeed.php residente su un altro server ho hosting, apra la
>cartella protetta avendo le credenziali?

Sicuro, puoi usare curl con le opzioni di autenticazione.

Leonardo been there, done that, wrote the unit tests
--

"You all presumably know why" :-) :-(

[Enrico Maria Chellini]

Il giorno Wed, 27 Jan 2021 15:42:53 +0100
Leonardo Serni <lse...@gmail.com> ha scritto:

hai qualche link con un paio di esempi dove posso dare un occhio?
Enrico

[Leonardo Serni]

On Thu, 28 Jan 2021 09:41:20 +0100, Enrico Maria Chellini <bi...@bitit.it>
wrote:

>> No, affatto. Ogni volta genera una chiave di 64 caratteri casuali, e
>> cifrala con openssl e chiave asimmetrica. Il resto del feed e'
>> criptato con AES e la chiave di cui sopra.

>> >2#b inserisco il feed in una cartella protetta (htaccess), c'è il
>> >modo che leggifeed.php residente su un altro server ho hosting, apra
>> >la cartella protetta avendo le credenziali?

>> Sicuro, puoi usare curl con le opzioni di autenticazione.

>> Leonardo been there, done that, wrote the unit tests

>hai qualche link con un paio di esempi dove posso dare un occhio?

Per la prima, purtroppo no. Per la seconda anche la man page di curl, oppure
avevo scritto qualcosa qua:

https://stackoverflow.com/questions/13210140/how-can-i-scrape-website-content-in-php-from-a-website-that-requires-a-cookie-lo

Leonardo

[Enrico Maria Chellini]

Il giorno Sat, 30 Jan 2021 19:23:01 +0100

Leonardo Serni <lse...@gmail.com> ha scritto:

Grazie
Enrico