為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下如何真正的加解密。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/160749
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 不要自己造輪子。以 PHP 7.2 版以後,有內建了 Sodium 函式庫,集成多種加解密方法
2. 若使用內建的函式,會有一定的機會被藉由測量物理所需的時間頻率、溫度…等,進而得知明文。詳情可見:Side-channel attack