Cryptografie is een centraal thema op het gebied van Web security geweest. Eén van de aspecten die veel webmasters betreffen - cryptografisch vervaardigde wachtwoorden - is net veranderd in een hot spot. Verscheidene geliefde PHP projecten op het punt om mooier met cryptografie te krijgen.
Scott Arciszewski van Paragon Initiative Bedrijven en andere leden van de open source gemeenschap hebben gewerkt aan het vergroten van de veiligheid in PHP-applicaties. Deze veranderingen zijn ongeveer in de populaire projecten zoals WordPress uit te voeren, Laravel, en Symfony.
WordPress 4.4, Laravel 5.2 en Symfony 2.8 zal binnenkort de ingebouwde ondersteuning voor CSPRNG, of cryptografisch Secure pseudotoevalsgenerator.
Wat is CSPRNG en hoe werkt het?
CSPRNG is een random number generatie algoritme ontworpen om te worden gebruikt voor cryptografische doeleinden. Het gebruik van dergelijke algoritmen wordt sterk aanbevolen omdat ze waar willekeurige getallen te genereren met een hoog niveau van entropie. Met andere woorden, die nummers zal veel moeilijker te kraken in brute-force aanvallen.
Scott Arciszewski is van mening dat het ontbreken van een fatsoenlijke random number generation-systeem in de open bronnen Facebook SDK (software ontwikkelingspakket) moeten deskundigen inspireren een bijdrage te leveren. Tenminste, dat is wat hem inspireerde. Wat hij deed voor het eerst is aan te bevelen een plan voor de Facebook-ontwikkelaars om de SDK te verbeteren. Dan, hij nam 2 cryptografisch veilige functies, toegevoegd ze naar PHP 7 en geport hen te werken aan PHP 5.x.
random_compat bibliotheek opgenomen in de code base van WordPress
WordPress, Laravel, en Symfony hebben al geïntegreerd de random_compat bibliotheek in hun code base. Echter, Joomla is een beetje achter met de cryptografie praktijken.
Arciszewski heeft onlangs vertelde dat Softpedia:
'JCrypt is Joomla's cryptografie bibliotheek en het behandelt een heleboel dingen, van symmetrische-key encryptie om het wachtwoord authenticatie,' toe te voegen dat, 'Hun nalatenschap wachtwoordauthenticatie (pre-bcrypt) is kwetsbaar (...) een 'magic hash’ kwetsbaarheid (...).'
Dat zijn niet de enige problemen de Joomla dev team zal moeten behandelen, dat is jammer, omdat de Joomla platform is heel populair.
Meer informatie uit Arciszewski's blog post.
Referenties
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: