WordPress bezpieczny jak PHP – które będzie najbezpieczniejsze dzięki Libsodium
PHP nie kojarzy się nam jakoś specjalnie z bezpieczeństwem (niemówiąc już o pisanych w PHP systemach zarządzania treścią) –ale może się to zmienić. Scott Arciszewski, szef programistów wfirmie Paragon Initiative Enterprises, który od lat walczy o lepszezabezpieczenia aplikacji webowych pisanych w PHP, może pochwalićsię wielkim sukcesem. Deweloperzy tego języka jednogłośnieprzyjęli jego propozycję, by do rdzenia tego języka wbudowaćnowoczesną bibliotekę kryptograficzną Libsodium.
Libsodiumpojawi się już w wydaniu PHP 7.2, które zobaczymy do końca tegoroku. To nowoczesna biblioteka programistyczna odpowiedzialna zaszyfrowanie, deszyfrowanie, cyfrowe podpisy, generowaniekryptograficznych skrótów dla haseł czy generowanie liczblosowych. Powstała jako wygodniejszy w użytkowaniu fork bibliotekikryptograficznej NaCl, wśródktórej autorów znajdziemy m.in. genialnego Daniela J. Bernsteina.Dostarcza więc całą niezbędną bazę matematyki do tworzeniabezpiecznego oprogramowania – zwykli programiści mogą z niejkorzystać do woli, zamiast samodzielnie tworzyć wątpliweimplementacje algorytmów szyfrujących.
Scott Arciszewski, zatroskany o stan aplikacji webowych,szczególnie tych serwisów działających na WordPressie wewspółdzielonym hostingu, nalegał aby Libsodium zostało wbudowanew sam rdzeń PHP, jako część domyślnej instalacji, a nie jakieśrozszerzenie. Tylko takie postawienie sprawy da klientom firmhostingowych możliwość skorzystania z dobrodziejstw mocnejkryptografii, na współdzielonych hostingach raczej bowiem własnychrozszerzeń PHP nie zainstalują.
Takie postawienie sprawy automatycznie rozwiązuje też problemy zzespołem twórców WordPressa, od dawna namawianych do ulepszeniaswoich praktyk bezpieczeństwa. Nie będą mieli wyboru – zmuszenido używania ulepszonych funkcji samego PHP. Od stronykompatybilności nie będzie wiązało się to zaś z żadnymikłopotami, biblioteka Libsodium jest bowiem tak samo jak interpreterPHP pisana w C.
Za wnioskiem dyrektora Paragon Initative Enterprises głosowałowszystkich 37programistów php.internals. Z argumentami Arciszewskiego zapoznaćsię można na jegoblogu – podkreśla tam, że dzięki tej decyzji PHP stanie siępierwszym językiem programowania, który zawiera nowoczesnąkryptografię w swojej bibliotece standardowej. Nowoczesną, czyliodporną nie tylko na tradycyjne narzędzia analityczne, ale też nate wszystkie ataki typu side-channel, w których sekret ujawnianyjest wskutek analizy właściwości fizycznego systemu, na którymnarzędzie szyfrujące zostało uruchomione.
Większość innych popularnych języków, włącznie zniesamowicie modnym dziś Node.js, wciąż przywiązana jest doOpenSSL, które jak twierdzi ekspert, ma same wady – zachęcaprogramistów do niewłaściwego używania szyfru RSA, szyfrowaniaAES w trybie blokowym i nieuwierzytelniania szyfrogramów. TymczasemPHP, niemodne, nieszanowane, a wciąż przecież będące wołemroboczym WWW, zaoferuje rozwiązania najbezpieczniejsze, pozwalającuniknąć w przyszłości takich wpadek, jak systemaktualizacji WordPressa, w którym strony domyślnie ufałyserwerowi aktualizacji.
