pdadmin-forum

pdadmin-forum » Archive » Wunschecke Archiv » [bereits umgesetzt] php 5.2.6 » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Zum Ende der Seite springen php 5.2.6
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Andreas Franke
Mitglied


images/avatars/avatar-16.jpg

Dabei seit: 19.04.2008
Beiträge: 44

php 5.2.6 Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Über 120 beseitigte Fehler sprechen für sich. Dabei könnte man auch gleich Suhosin mit integrieren.


Andreas
03.05.2008 11:48 Andreas Franke ist offline E-Mail an Andreas Franke senden Beiträge von Andreas Franke suchen Nehme Andreas Franke in Deine Freundesliste auf
Stella
Mitglied


Dabei seit: 05.08.2006
Beiträge: 296
Herkunft: Berlin

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi!

ist denn mit Suhosin auch sichergestellt, dass dann noch alles funktioniert?!

Stella
03.05.2008 12:05 Stella ist offline Beiträge von Stella suchen Nehme Stella in Deine Freundesliste auf
Andreas Franke
Mitglied


images/avatars/avatar-16.jpg

Dabei seit: 19.04.2008
Beiträge: 44

Themenstarter Thema begonnen von Andreas Franke
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Definitiv ja! Man kann den sogenannten Simulations-Modus einschalten, dann verhält sich alles wie immer. Den habe ich aber auf meinen Shared-Hosting-Servern noch NIE gebraucht, da ich KEINE Inkompatibilitäten feststellen konnte. Ich setzte Suhosin dort seit über einem Jahr ein Keinerlei Kundenbeschwerden, nur mehr Sicherheit. Außerdem kann man das Verhalten von Suhosin sehr genau in dessen conf-Datei einstellen. Ich kann das Teil nur dringend empfehlen und immer die Kombination Patch & Extension verwenden, da nur so die gesamte Funktionalität zur Verfügung steht. Hier noch mal die Features:

Zitat:
Engine Protection (only with patch)

Protects the internal memory manager against bufferoverflows with Canary and SafeUnlink Protection

Protects Destructors of Zend Hashtables

Protects Destructors of Zend Linked-Lists

Protects the PHP core and extensions against format string vulnerabilities

Protects against errors in certain libc realpath() implementations

Misc Features

Protection Simulation mode :!:


Adds the functions sha256() and sha256_file() to the PHP core

Adds support for CRYPT_BLOWFISH to crypt() on all platforms

Transparent protection of open phpinfo() pages

EXPERIMENTAL SQL database user protection

Runtime Protection

Transparent Cookie Encryption :!:

Protects against different kinds of (Remote-)Include Vulnerabilities

disallows Remote URL inclusion (optional: black-/whitelisting)
disallows inclusiong of uploaded files
optionally stops directory traversal attacks

Allows disabling the preg_replace() /e modifier
Allows disabling eval()
Protects against infinite recursion through a configureabel maximum execution depth
Supports per Virtual Host / Directory configureable function black- and whitelists
Supports a separated function black- and whitelist for evaluated code
Protects against HTTP Response Splitting Vulnerabilities
Protects against scripts manipulating the memory_limit

Protects PHP‘s superglobals against extract() and import_request_vars()
Adds protection against newline attacks to mail()
Adds protection against \0 attack on preg_replace()

Session Protection

Transparent encryption of session data :!:
Transparent session hijacking protection :!:
Protection against overlong session identifiers
Protection against malicious chars in session identifiers

Filtering Features

Filters ASCIIZ characters from user input
Ignores GET, POST, COOKIE variables with the following names:
GLOBALS, _COOKIE, _ENV, _FILES, _GET, _POST, _REQUEST
_SERVER, _SESSION, HTTP_COOKIE_VARS, HTTP_ENV_VARS
HTTP_GET_VARS, HTTP_POST_VARS, HTTP_POST_FILES
HTTP_RAW_POST_DATA, HTTP_SERVER_VARS, HTTP_SESSION_VARS

Allows enforcing limits on REQUEST variables or separated by type (GET, POST, COOKIE)
Supports a number of variables per request limit
Supports a maximum length of variable names [with and without indicies]
Supports a maximum length of array indicies
Supports a maximum length of variable values
Supports a maximum depth of arrays

Allows only a configureable number of uploaded files
Supports verification of uploaded files through an external script
Supports automatic banning of uploaded ELF executables
Supports automatic banning of uploaded binary files
Supports automatic stripping of binary content in uploaded files

Configureable action on violation
just block violating variables
send HTTP response code
redirect the browser
execute another PHP script

Logging Features


Supports multiple log devices (syslog, SAPI module error log, external logging script)
Supports freely configureable syslog facility and priority
Supports log device separated selection of alert types to log
Alerts contain filename and linenumber that triggered it
Alerts contain the IP address of the user triggering it
The IP Address can also be extracted from X-Forwarded-For HTTP headers (f.e. for reverse proxy setups)


Aus dem Suhosin FAQ:
Zitat:
Will my application break because Suhosin is too restrictive?

Some people fear that the protections implemented by Suhosin are too restrictive for their applications and that after installing it, their applications stop working. Therefore Suhosin comes with a special configuration option: suhosin.simulation. When this is enabled Suhosin will continue logging violated rules but the actual blocking will not be performed.


Ich kann Suhosin jedenfalls uneingeschränkt empfehlen.

Andreas
03.05.2008 13:24 Andreas Franke ist offline E-Mail an Andreas Franke senden Beiträge von Andreas Franke suchen Nehme Andreas Franke in Deine Freundesliste auf
Lars
Moderator


images/avatars/avatar-11.gif

Dabei seit: 20.12.2005
Beiträge: 996
Herkunft: Leipzig

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zu diesem Thema möchte ich mal auf Hardened PHP unter PD-Admin hinweisen. Laut Herrn Bradler wird/wurde ja wenn verfügbar der Hardening-Patch angewendet.
03.05.2008 19:29 Lars ist offline Beiträge von Lars suchen Nehme Lars in Deine Freundesliste auf
Andreas Franke
Mitglied


images/avatars/avatar-16.jpg

Dabei seit: 19.04.2008
Beiträge: 44

Themenstarter Thema begonnen von Andreas Franke
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Suhosin ist der stark erweiterte Nachfolger des Hardening-Patches (der auch nicht mehr aktualisiert wird letzte Version für php 5.16 und total überholt). Suhosin ist natürlich für alle aktuelle PHP Versionen erhältlich und beinhaltet deutlich mehr Funktionalität als der Hardening-Patch.

Andreas
03.05.2008 20:41 Andreas Franke ist offline E-Mail an Andreas Franke senden Beiträge von Andreas Franke suchen Nehme Andreas Franke in Deine Freundesliste auf
Lars
Moderator


images/avatars/avatar-11.gif

Dabei seit: 20.12.2005
Beiträge: 996
Herkunft: Leipzig

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Na eben drum. smile Darum wäre mal interessant ob die Aussage aktuell ist. Also ob in den aktuellen mit SE ausgelieferten PHP Versionen eine Härtung/Suhosin integriert ist bzw. ob man die integrieren kann. Einen Nachteil für die SE kann ich nicht erkennen da man Suhosin ja z.b. auch deaktiviert ausliefern könnte.
03.05.2008 22:28 Lars ist offline Beiträge von Lars suchen Nehme Lars in Deine Freundesliste auf
Andreas Franke
Mitglied


images/avatars/avatar-16.jpg

Dabei seit: 19.04.2008
Beiträge: 44

Themenstarter Thema begonnen von Andreas Franke
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo Lars,
da hatte ich Dich falsch verstanden. smile Da es keinen "Hardening-Patch" für PHP 5.25 oder 5.26 existiert, kannst Du davon ausgehen, das in der SE nichts dergleichen vorhanden ist. Suhosin auch nicht, da es sich deutlich sichtbar in PHP-Info verewigt und da ist nichts.

Andreas

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Andreas Franke: 04.05.2008 14:30.

04.05.2008 14:29 Andreas Franke ist offline E-Mail an Andreas Franke senden Beiträge von Andreas Franke suchen Nehme Andreas Franke in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
pdadmin-forum » Archive » Wunschecke Archiv » [bereits umgesetzt] php 5.2.6

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de