Zakładam, że używasz Apache.
Umieść tajne dane w zmiennej środowiskowej w /etc/apache2/envvars , ustaw właściciela na root i uprawnienia na 400.
Atakujący będzie musiał włamać się na serwer, aby położyć ręce na twoim kluczu.
Możesz także ugotować skrypt, który poprosi o sekret, gdy uruchomi się Apache (irytujący, ale jeszcze bezpieczniejszy).
Pamiętaj, że osoby z dostępem root będą zawsze być w stanie zdobyć klucz, a próba ukrycia go przed nimi to tylko placebo.
Rozwiązanie placebo:
- Ustaw swoją aplikację domyślnie w stanie bezczynności, dopóki nie Opublikujesz klucza na stronie HTTPS w tej samej aplikacji, zapisz klucz w zmiennej globalnej i kontynuuj swoją działalność. Musisz wziąć pod uwagę cykl życia procesu PHP (kiedy proces się kończy, musisz ponownie wysłać swój klucz).
