r   e   k   l   a   m   a
r   e   k   l   a   m   a

WordPress bezpieczny jak PHP – które będzie najbezpieczniejsze dzięki Libsodium

Strona główna AktualnościBEZPIECZEŃSTWO

PHP nie kojarzy się nam jakoś specjalnie z bezpieczeństwem (nie mówiąc już o pisanych w PHP systemach zarządzania treścią) – ale może się to zmienić. Scott Arciszewski, szef programistów w firmie Paragon Initiative Enterprises, który od lat walczy o lepsze zabezpieczenia aplikacji webowych pisanych w PHP, może pochwalić się wielkim sukcesem. Deweloperzy tego języka jednogłośnie przyjęli jego propozycję, by do rdzenia tego języka wbudować nowoczesną bibliotekę kryptograficzną Libsodium.

Libsodium pojawi się już w wydaniu PHP 7.2, które zobaczymy do końca tego roku. To nowoczesna biblioteka programistyczna odpowiedzialna za szyfrowanie, deszyfrowanie, cyfrowe podpisy, generowanie kryptograficznych skrótów dla haseł czy generowanie liczb losowych. Powstała jako wygodniejszy w użytkowaniu fork biblioteki kryptograficznej NaCl, wśród której autorów znajdziemy m.in. genialnego Daniela J. Bernsteina. Dostarcza więc całą niezbędną bazę matematyki do tworzenia bezpiecznego oprogramowania – zwykli programiści mogą z niej korzystać do woli, zamiast samodzielnie tworzyć wątpliwe implementacje algorytmów szyfrujących.

Scott Arciszewski, zatroskany o stan aplikacji webowych, szczególnie tych serwisów działających na WordPressie we współdzielonym hostingu, nalegał aby Libsodium zostało wbudowane w sam rdzeń PHP, jako część domyślnej instalacji, a nie jakieś rozszerzenie. Tylko takie postawienie sprawy da klientom firm hostingowych możliwość skorzystania z dobrodziejstw mocnej kryptografii, na współdzielonych hostingach raczej bowiem własnych rozszerzeń PHP nie zainstalują.

r   e   k   l   a   m   a

Takie postawienie sprawy automatycznie rozwiązuje też problemy z zespołem twórców WordPressa, od dawna namawianych do ulepszenia swoich praktyk bezpieczeństwa. Nie będą mieli wyboru – zmuszeni do używania ulepszonych funkcji samego PHP. Od strony kompatybilności nie będzie wiązało się to zaś z żadnymi kłopotami, biblioteka Libsodium jest bowiem tak samo jak interpreter PHP pisana w C.

Za wnioskiem dyrektora Paragon Initative Enterprises głosowało wszystkich 37 programistów php.internals. Z argumentami Arciszewskiego zapoznać się można na jego blogu – podkreśla tam, że dzięki tej decyzji PHP stanie się pierwszym językiem programowania, który zawiera nowoczesną kryptografię w swojej bibliotece standardowej. Nowoczesną, czyli odporną nie tylko na tradycyjne narzędzia analityczne, ale też na te wszystkie ataki typu side-channel, w których sekret ujawniany jest wskutek analizy właściwości fizycznego systemu, na którym narzędzie szyfrujące zostało uruchomione.

Większość innych popularnych języków, włącznie z niesamowicie modnym dziś Node.js, wciąż przywiązana jest do OpenSSL, które jak twierdzi ekspert, ma same wady – zachęca programistów do niewłaściwego używania szyfru RSA, szyfrowania AES w trybie blokowym i nieuwierzytelniania szyfrogramów. Tymczasem PHP, niemodne, nieszanowane, a wciąż przecież będące wołem roboczym WWW, zaoferuje rozwiązania najbezpieczniejsze, pozwalając uniknąć w przyszłości takich wpadek, jak system aktualizacji WordPressa, w którym strony domyślnie ufały serwerowi aktualizacji.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.