it-swarm-es.com

¿Debo usar Suhosin para PHP?

Suhosin puede usarse para aumentar la seguridad de su aplicación PHP. Realmente puedo ver su uso cuando está utilizando hosts compartidos, con múltiples (posiblemente mal) personas que ejecutan sus PHP aplicaciones allí.

Cuando solo tienes una aplicación web, la tuya, ¿hay alguna ventaja en usar Suhosin?

21
Peter Smit

A partir de 2012, Arch Linux y Debian parecen haber abandonado a Suhosin. Diría que es menos necesario y las siguientes publicaciones de blog citan muy buenas razones para no usarlo (principalmente relacionadas con la compatibilidad ascendente y los ciclos de lanzamiento impredecibles/poco confiables):

8
zeitgeist

Personalmente, siempre ejecuto Suhosin en todos mis servidores.

Mis razones principales son

  • Agrega la funcionalidad sha256 () a PHP.
  • Hace algunas cosas realmente buenas con respecto al filtrado de cargas realizadas a través de PHP.
  • Deshabilita algunas de las desagradables funciones PHP como eval (). Lo cual es bueno, ya que aunque es muy posible que no lo uses, nunca se sabe qué harán los desarrolladores.
  • Además, cualquier otro motivo enumerado aquí es un motivo suficientemente bueno para ejecutarlo.

Mirando el resultados de referencia para Suhosin, la pérdida de rendimiento es insignificante, al menos para mí.

9
Mark Davidson

Yo recomendaría usar Suhosin. Sin embargo, si "confías" en tu código, no puedes confiar en PHP. Hay muchas vulnerabilidades encontradas en el pasado en el propio intérprete y se cree que simplemente no desaparecerán un día. Suhosin lo protege de más vulnerabilidades de "bajo nivel" como desbordamientos de búfer, etc.

8
anonymous

Suhosin también agrega el algoritmo de hash de contraseña de blowfish a las plataformas que no lo admiten de forma nativa (creo que solo BSD lo tiene de forma nativa). Es muy superior a MD5 y más estandarizado que los basados ​​en SHA. También es escalable, utiliza un parámetro de configuración como parte de la sal para escalar logarítmicamente la complejidad del hash, el valor predeterminado es 4 o 7, en un rango de 0 a 31. Una configuración de 13 toma aproximadamente 60 segundos por hash en un core2duo 2.4ghz.

2
Allan Jude