Cryptographie a été un sujet central dans le domaine de la sécurité Web. Un des aspects qui concernent tous les maîtres mots de passe web - cryptographique conçu - vient transformé en un point chaud. Plusieurs projets PHP bien-aimés sont sur le point d'obtenir plus agréable avec la cryptographie.
Scott Arciszewski de l'initiative Paragon Enterprises et d'autres membres de la communauté open source ont travaillé à accroître la sécurité dans les applications PHP. Ces changements sont sur le point d'être mis en œuvre dans des projets populaires tels que WordPress, Laravel, et Symfony.
WordPress 4.4, Laravel 5.2 et Symfony 2.8 sera bientôt le support intégré pour CSPRNG, ou sécurisé pour les pseudoaléatoires Number Generator.
Qu'est-ce que CSPRNG et comment fonctionne-t-il?
CSPRNG est un algorithme de génération de nombre aléatoire destiné à être utilisé à des fins de chiffrement. L'utilisation de ces algorithmes est fortement recommandé, car ils génèrent de vrais nombres aléatoires avec un haut niveau d'entropie. En d'autres termes, ces chiffres seront beaucoup plus difficiles à pirater des attaques de force brute.
Scott Arciszewski estime que l'absence d'un système de génération de nombres aléatoires décent dans les sources ouvertes- Facebook SDK (Kit de développement logiciel) devraient inspirer les experts à contribuer. Au moins, c'est ce qui lui a inspiré. Ce qu'il a fait est d'abord recommandé un plan pour les développeurs Facebook pour améliorer le SDK. Puis, il a pris 2 fonctions cryptographiquement sûres, les avons ajoutés à PHP 7 et les portés à travailler sur PHP 5.x.
bibliothèque random_compat inclus dans la base de code de WordPress
WordPress, Laravel, et Symfony ont déjà intégré la bibliothèque random_compat dans leur base de code. Cependant, Joomla est un peu en retard avec le pratiques de cryptographie.
Arciszewski a récemment dit que Softpedia:
« JCrypt est la bibliothèque de cryptographie de Joomla et il gère beaucoup de choses, de chiffrement à clé symétrique pour l'authentification par mot de passe,» ajoutant que, « Leur authentification par mot de passe de l'héritage (pré-bcrypt) est vulnérable à (...) un « hachage magique’ vulnérabilité (...).»
Ce ne sont pas les seuls problèmes de l'équipe de dev Joomla devra gérer, ce qui est dommage, depuis la plate-forme Joomla est très populaire.
En savoir plus de Le blog de Arciszewski.