¿Debo usar Suhosin para PHP?

21

Suhosin se puede usar para aumentar la seguridad de su aplicación PHP. Realmente puedo ver el uso de él cuando usas hosts compartidos, con varias personas (posiblemente malvadas) ejecutando sus aplicaciones PHP allí.

Cuando solo tiene una aplicación web, la suya, ¿hay alguna ventaja en el uso de Suhosin?

    
pregunta Peter Smit 11.11.2010 - 22:59
fuente

4 respuestas

8

A partir de 2012, Arch Linux y Debian parecen haber abandonado Suhosin. Yo diría que es menos necesario y las siguientes publicaciones del blog citan muy buenas razones para no usarlo (en su mayoría relacionadas con la compatibilidad ascendente y los ciclos de publicación impredecibles / no confiables):

respondido por el zeitgeist 14.11.2012 - 19:29
fuente
9

Personalmente siempre ejecuto Suhosin en todos mis servidores.

Mis principales razones son

  • Agrega funcionalidad sha256 () a PHP.
  • Hace algunas cosas realmente buenas con respecto al filtrado de subidas realizadas a través de PHP.
  • Deshabilita algunas de las funciones desagradables de PHP como eval (). Lo cual es bueno ya que, aunque es muy posible que no lo uses, nunca puedes decir qué harán los desarrolladores.
  • También todas las razones enumeradas aquí es una razón suficiente para ejecutarlo.

Mirando los resultados de referencia para Suhosin, la pérdida de rendimiento es insignificante, al menos para mí.

    
respondido por el Mark Davidson 12.11.2010 - 15:07
fuente
8

Recomendaría usar Suhosin. Sin embargo, si usted "confía" en su código, no puede confiar en PHP. Hay muchas vulnerabilidades encontradas en el pasado en el propio intérprete y se cree que no desaparecerán tan solo un día. Suhosin lo protege de más vulnerabilidades de "bajo nivel" como desbordamientos de búfer y etc.

    
respondido por el anonymous 11.11.2010 - 23:28
fuente
2

Suhosin también agrega el algoritmo de hashing de contraseña de Blowfish a las plataformas que no lo admiten de forma nativa (creo que solo BSD lo tiene de forma nativa). Es muy superior a MD5 y más estandarizado que los basados en SHA. También es escalable, utiliza un parámetro de configuración como parte de la sal para escalar logarítmicamente la complejidad del hash, el valor predeterminado es 4 o 7, en un rango de 0-31. Una configuración de 13 toma aproximadamente 60 segundos por hash en un core2duo 2.4ghz.

    
respondido por el Allan Jude 10.01.2011 - 19:07
fuente

Lea otras preguntas en las etiquetas