Devo usare Suhosin per PHP?

21

Suhosin può essere usato per aumentare la sicurezza della tua applicazione PHP. Posso davvero vederne l'uso quando usi host condivisi, con persone multiple (forse malvagie) che eseguono le loro applicazioni PHP lì.

Quando hai solo un'app Web, la tua, c'è qualche vantaggio nell'usare Suhosin?

    
posta Peter Smit 11.11.2010 - 22:59
fonte

4 risposte

8

A partire dal 2012, Arch Linux e Debian sembrano aver scaricato Suhosin. Direi che è meno necessario e i seguenti post di blog citano ottime ragioni per non utilizzarlo (in gran parte legate alla compatibilità a monte e ai cicli di rilascio imprevedibili / inaffidabili):

risposta data 14.11.2012 - 19:29
fonte
9

Personalmente eseguo sempre Suhosin su tutti i miei server.

I miei motivi principali sono

  • Aggiunge funzionalità sha256 () a PHP.
  • Sono alcune cose davvero buone per quanto riguarda il filtraggio dei caricamenti fatti tramite PHP.
  • Disabilita alcune delle brutte funzioni PHP come eval (). Il che è buono perché, sebbene tu possa benissimo non usarlo, non puoi mai dire a cosa gli sviluppatori si adegueranno.
  • Anche ogni altro motivo elencato qui è una buona ragione per eseguirlo.

Esaminando i risultati benchmark per Suhosin la perdita di prestazioni è insignificante almeno per me.

    
risposta data 12.11.2010 - 15:07
fonte
8

Consiglierei di usare Suhosin. Se "ti fidi" del tuo codice, non puoi fidarti di PHP, però. Ci sono molte vulnerabilità trovate in passato nell'interprete stesso e si ritiene che non scompariranno così semplicemente un giorno. Suhosin ti protegge da più vulnerabilità "di basso livello" come buffer overflow ed ecc.

    
risposta data 11.11.2010 - 23:28
fonte
2

Suhosin aggiunge anche l'algoritmo di hashing della password blowfish alle piattaforme che non lo supportano in modo nativo (penso che solo BSD lo abbia in modo nativo). È di gran lunga superiore a MD5 e più standardizzato rispetto a quelli basati su SHA. È anche scalabile, si utilizza un parametro di configurazione come parte di sale per eseguire il logaritmico della complessità dell'hash, il valore predefinito è 4 o 7, nell'intervallo 0-31. Un'impostazione di 13 richiede circa 60 secondi per hash su un core2duo 2.4ghz.

    
risposta data 10.01.2011 - 19:07
fonte

Leggi altre domande sui tag