VivaPHP!

Se eliminaron de esta lista los polémicos register-globals y safe-mode por dos motivos: en PHP5 se encuentran desactivados por defecto y porque serán eliminados en PHP6.

1. engine
   Quizás la más imporante de todas, si se encuentra configurada a Off directamente no podremos usar PHP.
2. expose-php
   Cambiándolo a Off evitaremos que el servidor web reporte la versión de PHP que estamos usando, además de cualquier extensión. También podemos eliminar la "firma" de Apache desactivando la opción ServerSignature en su archivo httpd.conf
3. max-execution-time
   Es el límite de tiempo que tiene un script para ejecutarse y es importante si tenemos algunos que pueden potencialmente consumir muchos recursos del servidor.
4. memory-limit
   Aunque la mayoría de los proveedores de hosting compartido tiene un límite pequeño de 7 a 16 Mb, un límite mayor puede evitar problemas si tenemos problemas de memoria.
5. post-max-size
   Si estamos aceptamos que el usuario suba archivos al servidor, con esta opción podemos poner un límite al tamaño de los archivos aceptados.
6. magic-quotes-gpc
   Otra muy polémica opción que sigue causando confusión y que será eliminada en PHP6. Su finalidad es "escapar" las comillas simples, dobles y caracteres especiales en una cadena de caracteres.
7. disable-functions y disable-classes
   Permiten desactivar el uso de ciertas funciones y clases de PHP, efectivamente restringiéndo la disponibilidad de las que presenten un riesgo de seguridad, como exec, fopen, system, etc.

Todas estas opciones pueden cambiarse en el archivo principal de configuración de PHP (generalmente php.ini), o bien en nuestros propios scripts usando la función ini-set, si no se encuentra desactivada, por supuesto.

La semana pasada, el prestigioso diario The Washington Post reportó que cientos de miles de servidores web IIS (Internet Information Server) fueron hackeados. Entre las víctimas figuraban sitios del gobierno del Reino Unido y de las Naciones Unidas. Los reportes iniciales decían que los atacantes usaron una vulnerabilidad de seguridad en IIS, pero esto fué desmentido luego en el Blog de IIS donde Microsoft explica que los ataques no están relacionados con ningún defecto en la seguridad de IIS 6.0, ASP, ASP .Net o SQL Server sino a ataques de inyección SQL automatizados.

La comunidad de Ubuntu anunció el lanzamiento de una importante actualización de seguridad para los paquetes PHP5 de las versiones 6.06 LTS (PHP 5.1.2), 6.10 (PHP 5.1.6), 7.04 (PHP 5.2.1) y 7.10 (PHP 5.2.3) de su distribución GNU/Linux. Esta actualización también se aplica a sus variantes Kubuntu, Edubuntu y Xubuntu. Las correcciones corrigen debilidades, errores y vulnerabilidades en distintas funciones que podrían tener un impacto desconocido y ser explotables por atacantes maliciosos.

Los paquetes pueden descargarse manualmente o usando la aplicación de actualización del sistema de Ubuntu.

El primer día de este mes comenzó el Mes de los Errores de PHP, una iniciativa que durante todo este Marzo del 2007 revelará nuevas y viejas vulnerabilidades de seguridad en el Zend Engine, el núcleo de PHP y sus extensiones a un ritmo diario. El objetivo es, por supuesto, mejorar la seguridad de PHP, aunque el evento no se concentrará en los problemas en el propio lenguaje a los que generalmente se acusa de ser el motivo de aplicaciones PHP inseguras...

Coverity, una empresa productora de herramientas de análisis de código, en un estudio patrocinado por la universidad de Stanford, reveló que el llamado "LAMP" (Linux + Apache + MySQL + PHP, Perl o Python) tiene menos errores por 1000 líneas de código fuente que otros 32 proyectos Open Source analizados.

Nuestro amado LAMP mostró "una significativa mejor calidad de software", con un promedio de 0.29 errores por 1000 líneas de código. Sin embargo, PHP es el único componente de ese conjunto que tiene una densidad de bugs superior al resto (!).

Para poder realizar transacciones seguras entre un navegador y nuestro sitio es necesario que contemos con un certificado digital, que generalmente es emitido por una autoridad de certificación a cambio de una suma de dinero. Pero para el modesto webmaster menos potentado, afortundamente también existe una alternativa gratuita...

Se anunció así la formación del PHP Security Consortium (PHPSC), con la autoproclamada misión de "promover prácticas de programación seguras en la comunidad PHP a través de la educación y la exposición, mientras mantenemos una altos niveles de estándares éticos".

Quizás un poco indignados por recientes críticas sobre las devastadoras consecuencias del gusano Santy, en el mismísimo sitio de PHP se hace el descargo de que el gusano en sí no tuvo nada que ver con ningún problema de seguridad en PHP, sino con la falta de validación de los datos de entrada en phpBB, un problema del que desgraciadamente adolecen gran cantidad de aplicaciones PHP.

Nikto es un "escaneador de servidores web" escrito en Perl que realiza todo tipo de pruebas de ataques y vulnerabilidades por medio de un extensible sistema de plug-ins. Nikto es un excelente punto de partida para comprobar la seguridad del servidor web a nuestro cargo, que funciona tanto en Linux como en Windows.

Apareció una nueva librería llamada PHPSec producida por el proyecto WASP (Web Application Security Project) orientada a la seguridad de las aplicaciones web escritas en PHP version 4 o superior. Esta librería permite detectar ataques que se lancen contra la aplicación web con tan solo 2 o 3 líneas de código. Además incluye funciones para recabar mucha información acerca del _host que ha lanzado el ataque, simplificación del uso de encriptación en las aplicaciones PHP, funciones para limpiar parámetros, etc