Month of PHP security

Si è concluso il mese dedicato ai problemi di sicurezza relativi al PHP con il risultato di 60 bug individuati: http://php-security.org/.
A quanto sembra non sono state individuate vulnerabilità critiche da zero-day e tutti questi bug, più altri, saranno presto sistemati nella prossima release 5.3.3.
Non è mio interesse andare nei dettagli dei bug individuati ma vorrei segnalare un progetto interessante per aumentare la sicurezza delle applicazioni in PHP.
Ho già parlato di mod_security, che altro non è che un web application firewall (è disponibile un ottimo libro scritto proprio dal creatore, Ivan Ristic: http://blog.ivanristic.com/), ma questo progetto è specifico nel limitare i danni e gli attacchi relativi al solo PHP. Sto parlando di suhosin, parte del progetto hardened-php.
Come molti software per la sicurezza è possibile abilitare questi controlli aggiuntivi in modo che venga solo segnalato nei log un warning e quindi senza bloccare le applicazioni. In questo modo però si hanno comunque da subito dei vantaggi non da poco, come ad esempio la possibilità di criptare le sessioni e i cookie in modo trasparente sia per l’applicazione (gli sviluppatori non devono modificare il codice) sia per gli utenti. Per applicazioni che trattano dati sensibili è importante poter criptare in modo funzionale anche tali informazioni.
Alcune distribuzioni linux, come Debian, includono nei propri pacchetti binari tale patch. Che vi costa preparare una macchina virtuale per fare qualche test di questo software?


This entry was posted on Friday, June 4th, 2010 at 10:02 PM and is filed under security, software.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.