PHP e sicurezza

Ultimamente vuoi per viaggi e vuoi per lavoro ho tralasciato uno degli argomenti principali del mio blog il PHP. Me ne scuso con i miei lettori facendo un piccolo resoconto su quello che è successo negli ultimi mesi in ambito sicurezza.

Innanzitutto Stefen Esser ha lasciato il gruppo relativo alla sicurezza del progetto PHP, questo perchè non abbastanza rapido a risolvere problemi e con la tendenza a fare full disclosure su alcune falle dell’interprete. La cosa mi ha lasciato con un po’ di amaro in bocca, penso che Stefen sia uno dei più attivi nel settore security e vederlo uscire dal gotha degli sviluppatori non è molto facile da accettare.

Fortunatamente lo sviluppo di Suhosin ha visto un discreto incremento di velocità tanto che negli ultimi giorni sono state rilasciate versioni di questo modulo che permettono rudimentali procedure euristiche per identificare SQL Injection. Purtroppo nessun hosting provider attualmente include/abilita Suhosin…

Per prevenire un grosso baco presente in molte versioni di PHP è stata rilasciata la versione 5.2 quest’ultima ha introdotto tra l’altro l’estensione Filter. Questa estensione permette di analizzare l’input e di ripulirlo per eventuali riutilizzi. Purtroppo è un’estensione del linguaggio e quindi comporta (come al solito) che i vari hosting provider la utilizzino all’interno dei loro pacchetti e che ne ricompilino il modulo ad ogni aggiornamento. Inoltre alcune politiche di utilizzo della stessa mi rimangono oscure e poco user friendly, senza contare che abilitare di default un modulo immaturo mi pare controproducente all’immagine dello stesso. Anche in questo caso rimango abbastanza daccordo con Stefan e suggerirei di utilizzare una libreria in user space per fare l’analisi e la validazione dell’input che rimanga trasparente all’applicazione e che non ne complichi ulteriormente il codice.

Tra l’altro una libreria del genere, completamente separata da tutti gli attuali framework in circolazione e quindi utilizzabile senza dipendenze particolari, farà parte del progetto Hardened-PHP e sarà rilasciata durante il 2007.

Per finire il PHP Security Consortium ha continuato la sua opera di evangelizzazione aggiornando abbastanza frequentemente il suo SecurityFocus e rilasciando una piccola applicazione chiamata phpsecinfo(), che più o meno come fa la funzione phpinfo(), restituisce una lista di informazioni sulla propria installazione di PHP aggiungendo inoltre qualche tips all’hardening della stessa.

ciuaz

%d bloggers like this: