¿Por qué: valor de inicialización predeterminado de sal y cifrado en Cake PHP Framework?

2

Me pregunto por qué en el framework cake php, incluyen valores predeterminados para esta variable:

  • sal
  • semilla de cifrado

Encontré estos valores predeterminados mientras realizaba la revisión de la aplicación (enfoque de caja blanca). Y descubrí que el desarrollador no modificó estos valores.

CMIIW, si los desarrolladores no modificaron estos valores, es más propenso a los ataques de fuerza bruta al proporcionar estos valores predeterminados.

    
pregunta zakiakhmad 23.09.2013 - 08:25
fuente

1 respuesta

3

Esto definitivamente parece una muy mala práctica.

A búsqueda rápida en github contiene un par de servicios en el área de bienes y servicios. Se ha usado sal.
Cakephp muestra un aviso cuando el valor no se ha cambiado:

Please change the value of 'Security.salt' in app/config/core.php to a 
salt value specific to your application [CORE/cake/libs/debugger.php, line 848] 

Por lo tanto, una razón potencial para tener una sal y una semilla predeterminadas es la capacidad de detectar si el usuario está utilizando la sal predeterminada, sin cambios e insegura y ser capaz de instruirlo para que la cambie.

Consulte esta función donde se asegure de que esté No usar los valores por defecto. A diferencia de otros frameworks como Rails donde se genera el secret_token sobre la marcha cuando creas un nuevo proyecto de rails, cakephp básicamente tiene un descomprimir y comenzar a usarlo, donde generar una sal sobre la marcha no es fácil.

Sin embargo, el mismo código que comprueba que los valores no son predeterminados también puede crear un salt aleatorio y reemplazar los valores en los archivos conf cuando ve que se están usando valores predeterminados. Esto solo sucedería una vez, idealmente la primera vez que se ejecuta una aplicación cakephp, y luego los valores se cambian para siempre.

También cuando se usan los valores predeterminados, debería aparecer un Error (en lugar de un aviso sutil que puede ignorarse) que no le permitirá implementar / ejecutar cakephp a menos que cambie estos valores.

Obviamente, las ventajas de la semilla y la sal se pierden si todos usan los mismos valores conocidos. Esperemos que alguien del equipo de cakephp comparta su preocupación y cambie este comportamiento predeterminado.

    
respondido por el CodeExpress 23.09.2013 - 21:08
fuente

Lea otras preguntas en las etiquetas