O que é mais seguro, PHP 5.3 + Suhosin ou PHP 5.4 / 5.5?

Question

O que é mais seguro, PHP 5.3 + Suhosin ou PHP 5.4 / 5.5?

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

3

Como sabemos, Suhosin endurece o PHP e adiciona outra camada de segurança. Mas infelizmente não há lançamento oficial para o PHP 5.4 / 5.5 (que eu posso encontrar de qualquer maneira).

Então isso me coloca em um pequeno dilema. Eu uso o novo PHP 5.4 / 5.5, que eu presumo ser mais seguro do que o antigo 5.3, ou eu uso o antigo PHP 5.3, mas com o patch de segurança do Suhosin?

Atualmente na minha máquina local eu estou executando meu código com o PHP 5.3.5, então não há nada inerentemente no PHP 5.4 / 5.5 que eu precise para que meus scripts funcionem. A segurança é fundamental neste projeto!

O que é recomendado neste exemplo? Ou isso não importa? Suhosin parece ter alguns bons remendos.

Obrigado

php

por user203834 01.01.2014 / 19:14

3 respostas

Tags php

faz o dnsmasq ignorar entradas específicas em / etc / hosts Desativar filtragem TCP / IP via GPO

score 2 · Answer 1

A versão mais segura do PHP é aquela que você mantém atualizada. Qual versão (e bibliotecas associadas) é mantida por um provedor upstream (sua distro Linux, presumindo que você esteja executando o Linux). Você mesmo está construindo os binários? Em caso afirmativo, certifique-se de alocar o tempo necessário para acompanhar todos os patches de segurança, não apenas no PHP, mas também nas bibliotecas exigidas pelo seu aplicativo.

score 2 · Answer 2

O Suhosin Extension v. 0.9.36 está disponível em suhosin.org e github. Versões suportadas do PHP são PHP 5.4 e PHP 5.5.

O Suhosin Patch ainda não foi portado para as versões atuais do PHP.

Mesmo sem patches PHP adicionais do Suhosin Patch, uma versão atual do PHP com a extensão Suhosin é definitivamente mais segura que versões desatualizadas PHP < 5.4, que não receberá mais correções relacionadas à segurança.

A Suhosin fornece uma ampla gama de aprimoramentos relacionados à segurança para PHP, incluindo

criptografia de cookies e sessões
funções de lista negra e lista de permissões, funções de avaliação, incluem
proteção contra injeção de SQL
vários filtros de entrada e limites
reprocessamento aleatório de números
logging e simulação de proteção

Além de manter sua instalação do PHP atualizada, esses recursos podem fornecer uma vantagem distinta na proteção de seu aplicativo, que o PHP não forneceria de outra maneira. Isso pode ser de particular interesse ao executar aplicativos de terceiros e aplicativos de código fechado / criptografados, nos quais a qualidade do código não é conhecida.

score 1 · Answer 3

Suhosin é uma idéia / conceito antigo que realmente não é mais relevante nos dias de hoje. É tão ruim quanto as pessoas que pensam em desabilitar as funções do PHP tornam um servidor seguro. Apenas mantenha o PHP atualizado e foque em proteger o servidor e os serviços.