Scriptorama.nl

Header image showing a keyboard, mouse, laptop and books on design patterns

Hardened-PHP brengt Suhosin uit

Geplaatst in: Security, Software updates op 08.21.06 door Mathieu Kooiman

Na de release van PHP 4.4.3 moet Stefan Esser gedacht hebben dat het allemaal lang genoeg geduurd heeft want het Harderend-PHP project laat weer eens van zich horen.

Het Hardened-PHP project dat, zoals de naam al doet vermoeden, zich bezig houdt met het verstevigen van de PHP broncode voor aanvallen van buitenaf heeft een nieuwe uitbreiding voor PHP uitgebracht met de naam Suhosin. Hiermee kunnen veel voorkomende problemen met PHP websites van te voren worden afgevangen en dat maakt het interessant voor bijvoorbeeld hosting bedrijven.

Suhosin komt in feite in 2 delen. Ten eerste is er een aantal patches die Zend Engine wat extra beveiliging geeft en ten tweede is er de Suhosin extensie waarmee andere problemen afgevangen kunnen worden. Omdat het gebruik van patches mogelijkerwijs impact heeft op de compatibiliteit met bijv. andere Zend producten zoals Zend Encoder, is het ook mogelijk om alleen de extensie te gebruiken of alleen de patches of allebei.

Een kleine greep uit de Suhosin feature list:

  • Transparent Cookie Encryption
  • Protects against different kinds of (Remote-)Include Vulnerabilities
    • disallows Remote URL inclusion (optional: black-/whitelisting)
    • disallows inclusiong of uploaded files
  • Supports per Virtual Host / Directory configureable function black- and whitelists
  • Supports a separated function black- and whitelist for evaluated code
  • Transparent encryption of session data
  • Transparent session hijacking protection
  • Filters ASCIIZ characters from user input
  • Supports multiple log devices (syslog, SAPI module error log, external logging script)
  • Alerts contain filename and linenumber that triggered it.

De complete lijst vind je op de website: Suhosin feature list.

Het is een indrukwekkende lijst van features waarmee beheerders van PHP-webservers veel meer mogelijkheden krijgen hoewel dit ongetwijfeld ten koste gaat van de performance van PHP. Dat is de afweging tussen in hoeverre je de code op je webserver vertrouwt en de benodigde performance.

De extensie is nog een BETA versie, dus het wordt afgeraden om deze te gebruiken op productie machines. De beta versie is te downloaden vanaf de Hardened-PHP website maar verwacht geen binaries: je zult de handel zelf moeten compileren.

Misschien ook interessant:

Reageer ook!

Sommige features mogen van mij zeker wel standaard in PHP geshipped worden. Zoals:
-Allows disabling the preg_replace() /e modifier
-Allows disabling eval()
-Adds the functions sha256() and sha256_file() to the PHP core
-Adds protection against \0 attack on preg_replace()

Ik weet dat Stefan wel patches uitbrengt voor de PHP core, maar waarom zouden de meeste features niet standaard in PHP zitten? Ze zijn zo handig :)

Door Tri PhamNo Gravatar op 08.22.06 @ 9:01 am | Permalink

eval() kan je uitschakelen met disable functions ;)

Door Sebastiaan StokNo Gravatar op 03.02.07 @ 8:05 pm | Permalink

RSS feed for comments on this post.
Leave a comment
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>