L’angelo custode di PHP.
Nel 2004, Stefan Esser, specialista di sicurezza, responsabile di scovare e risolvere molti bug di sicurezza in PHP, ha sviluppato un’estensione chiamata Suhosin .
Suhosin è un’estensione molto complessa che può proteggere PHP da eventuali attacchi dovuti da BUG non previsti dagli sviluppatori di web application.
Non è sorprendente che già nel lontano 2004, Stefan era ben consapevole dei danni potenziali che un numero eccessivo di variabili di richiesta avrebbero potuto causare su applicazioni sviluppate con PHP. Proprio per questo motivo che, tra molte altre opzioni, Suhosin ha la possibilità di settare le variabili max_vars e max_input_vars, cosa che è stata introdotta dalla versione PHP 5.3.9.
Quindi, se per qualche motivo si sta utilizzando una vecchia versione di PHP e non è possibile effettuare l’aggiornamento, si può prendere in considerazione l’utilizzo di Suhosin. Personalmente non abbiamo ancora potuto provare la potenzialità di Suhosin quindi, non sono siamo sicuri se funzionerà a dovere con tutte le versioni precedenti di PHP. Ma vale la pena provare.
Purtroppo molti sviluppatori non sono molto ferrati in materia di sicurezza nello sviluppo di web application e dovrebbero dare più attenzione a questo argomento ma, dobbiamo anche dire che, anche coloro che hanno esperienza in merito, potrebbe sfuggire qualche BUG nell’applicazione. Come si dice, nessuno è a conoscenza di tutto e, fidarsi è bene e non fidarsi è meglio.
Nel caso discusso nel precedente articolo, riguardante il problema delle collisioni hash e quello che possono causare al vostro server, non è però colpa vostra perché il problema sta nell’implementazione del linguaggio. Mettiamoci al riparo da eventuali attacchi e proteggiamo in maniera “drastica” la nostra applicazione.
Cosa ne pensate voi?
