web-dev-qa-db-ja.com

PHPにSuhosinを使用する必要がありますか?

Suhosin を使用して、PHPアプリケーションのセキュリティを向上させることができます。共有ホストを使用しているときに、複数の(おそらく悪)場合に、その使用を確認できますPHPアプリをそこに実行している人々。

Webアプリを1つだけ所有している場合、Suhosinを使用する利点はありますか?

21
Peter Smit

2012年の時点で、Arch LinuxとDebianはSuhosinをダンプしたようです。私はそれはそれほど必要ではなく、次のブログ投稿はそれを使用しない非常に良い理由を引用しています(主にアップストリームの互換性と予測できない/信頼できないリリースサイクルに関連しています):

8
zeitgeist

個人的には、すべてのサーバーで常にSuhosinを実行しています。

私の主な理由は

  • PHPにsha256()機能を追加します。
  • PHPを介して行われるアップロードのフィルタリングに関して、いくつかの本当に良いことをします。
  • 厄介なPHP eval(のような関数)の一部を無効にします。これは非常によく使用しないかもしれませんが、開発者が何をするかわからないためです。
  • また、リストされているその他すべての理由 here は、それを実行するのに十分な理由です。

ベンチマークの結果 を見ると、Suhosinの場合、パフォーマンスの低下は少なくとも私には取るに足らないものです。

9
Mark Davidson

スホシンの使用をお勧めします。ただし、コードを「信頼する」場合、PHPを信頼することはできません。インタープリター自体に過去に発見された多くの脆弱性があり、それらが1日で単純に消えるわけではないと考えられています。 Suhosinは、バッファオーバーフローなどの「低レベル」の脆弱性からユーザーを保護します。

8
anonymous

Suhosinは、blowfishパスワードハッシュアルゴリズムを、ネイティブでサポートしていないプラットフォームにも追加します(ネイティブで使用できるのはBSDだけだと思います)。 MD5よりはるかに優れており、SHAベースのものよりも標準化されています。また、スケーラブルであり、ソルトの一部として構成パラメーターを使用して、ハッシュの複雑さを対数的にスケーリングします。デフォルト0〜31の範囲で4または7です。13に設定すると、core2duo 2.4ghzのハッシュごとに約60秒かかります。

2
Allan Jude