Kryptografi har været et centralt emne inden for web-sikkerhed. Et af de aspekter, der vedrører mange web mastere - kryptografisk udformet adgangskoder - har netop forvandlet til en hot spot. Flere elskede PHP-projekter er ved at blive pænere med kryptografi.
Scott Arciszewski fra Paragon Initiative Enterprises og andre medlemmer af open source-samfundet har arbejdet på at øge sikkerheden i PHP-applikationer. Disse ændringer er ved at blive implementeret i populære projekter som WordPress, Laravel, og Symfony.
WordPress 4.4, Laravel 5.2 og Symfony 2.8 vil snart have den indbyggede support til CSPRNG, eller kryptografisk sikker PseudoRandom Number Generator.
Hvad er CSPRNG og hvordan fungerer det?
CSPRNG er en tilfældig talgenereringsalgoritme designet til at blive brugt til kryptografiske formål. Brug af sådanne algoritmer anbefales stærkt, fordi de genererer ægte tilfældige tal med et højt niveau af entropi. Med andre ord, disse tal vil være meget sværere at knække i brute-force angreb.
Scott Arciszewski mener, at manglen på et anstændigt system til generering af tilfældigt tal i open source Facebook SDK (softwareudviklingssæt) bør inspirere eksperter til at bidrage. Det er i det mindste det, der inspirerede ham. Hvad han gjorde først er at anbefale en plan for Facebook-udviklere til at forbedre SDK. Derefter, han tog 2 kryptografisk sikre funktioner, tilføjede dem til PHP 7 og porterede dem til at arbejde på PHP 5.x.
random_compat-bibliotek inkluderet i kodebasen på WordPress
WordPress, Laravel, og Symfony har allerede integreret random_compat-biblioteket i deres kodebase. Men, Joomla er lidt bagud med kryptografi praksis.
Arciszewski har for nylig fortalt Softpedia det:
'JCrypt er Joomlas kryptografibibliotek, og det håndterer mange ting, fra kryptering af symmetrisk nøgle til godkendelse af adgangskode,' tilføjer, at, ‘Deres ældre adgangskodegodkendelse (pre-bcrypt) er sårbar over for (...) en 'magisk hash’ sårbarhed (...).'
Det er ikke de eneste problemer, Joomla dev-teamet skal håndtere, hvilket er en skam, da Joomla-platformen er ganske populær.
Lær mere fra Arciszewskis blogindlæg.
Referencer
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: