VivaPHP!

Un poco más seguridad es algo que PHP-Nuke siempre necesitará. Y para saber por dónde comenzar a asegurar nuestro sitio PHP-Nuke (si cambiarlo no es opción) ésta revisión de 7 herramientas de seguridad que cubren las versiones 5.5 a 7.4 de PHP-Nuke es un excelente punto de referencia.

Hardened PHP agrega características "endurecidas" de seguridad a PHP para proteger a tus servidores contra dos cosas: 1º) una cantidad de reconocidos problemas en scripts PHP escritos apresuradamente y 2º) vulnerabilidades potencialmente desconocidas en el Zend Engine. Hardened PHP 0.2.2 está disponible para PHP 5.0 y PHP 4.3.x

El creador del sitio NukeCops, cuyo remate ya terminó, decidió ofrecer su último script Fortress (que supuestamente evita ataques XSS y de injección SQL) para PHP-Nuke a la comunidad PostNuke. La respuesta no se hizo esperar: "...el script puede ser un hack para solucionar la una falta básica de seguridad en el código de PHP-Nuke (en lugar de atender los inherentes problemas en la aplicación en sí) pero para PostNuke recomiendo la pnAPI y especialmente estándares de codificación para evitar problemas de seguridad... El código de la así llamada Fortress no será incluído en ninguna versión futura de PostNuke (a propósito, ni siquiera es GPL) y personalmente no la recomendaría ni para PHP-Nuke debido a que hay mejores maneras para asegurar la aplicación..." (!)

Los desarrolladores PHP que quieran proteger su propiedad intelectual sin desembolsar los U$S 2880 de Zend Encoder, sin duda apreciaran la disponbilidad gratuita de POBS. Este "ofuscador" en realidad no precompila los scripts PHP como lo hace Zend Encoder, sino que al contrario, los hace lo suficientemente ilegibles como para que el acceso a su fuente original sea prácticamente imposible. Y al contrario que Zend Encoder, POBS no requiere instalar ningún agregado al servidor Web (!).

ionCube es conocido por ese espectacular PHP-Accelerator que ya conocemos, pero también hace otras cosas, como el nuevo Encoder 3.0 para encriptar scripts PHP, competencia directa del Zend Encoder, pero mucho más barato (U$S 100 contra U$S 960 -por un año- de este último). Por el lado gratuito, ionCube también liberó recientemente su Obfuscating HTML Encoder, que "encripta" el resultado HTML que arroja un script PHP para que éste sea prácticamente imposible de leer.

En el sitio DeveloperWorks de IBM se publicó el primero de una serie de artículos sobre cómo "Desarrollar código PHP duro como la roca" (sin registración necesaria esta vez). Su objetivo es enseñarnos cómo escribir código libre de errores, seguro y fácil de mantener para sitios de mediano a gran tamaño, aunque esta primer parte sea meramente introductoria a algunos conceptos básicos de diseño y sentido común... (Esperamos ansiosos las partes que seguirán)

¿Alguna vez pensaste en PHP como una herramienta para asegurar tu red? Debido a que es mucho más fácil programar sockets en PHP que en C, un tal Jim Barcelona se las arregló para crear una simple pero efectiva aplicación de escaneo de puertos (portscanning) en PHP. Con ella será posible detectar cuáles puertos están abiertos en un servidor, por ej., y eliminar aquellos que sean innecesarios, minimizando potenciales vulnerabilidades. El código completo en PHP y un ejemplo en C puede encontrarse en phpWizard. (ésta sería una buena idea para un módulo para PostNuke)

El recientemente nacido PHP Audit Project es un esfuerzo independiente para "endurecer el intérprete PHP contra vulnerabilidades conocidas y desconocidas". Este proyecto ya comenzó a trabajar con la versión 4.1.2 de PHP, y sus primeros parches ya pueden encontrarse aquí. Sus intenciones son también agregar algunas mejoras específicas para OpenBSD, aunque sin romper su compatibilidad con otros sistemas. (Estas son muy buenas noticias)

Varias graves vulnerabilidades que permitían su explotación remota fueron descubiertos en el código para subir archivos de PHP. El problema no está en Apache, como algunos pensaban, sino en los módulos PHP. Las versiones afectadas son las 3.0.18, 4.0.6, 4.0.1 y 4.1.1, para las cuales ya hay disponible un parche. El problema es tan serio que produjo el lanzamiento de PHP 4.1.2 el mismo día que se anunció el bug. Se trata entonces de una actualización más que recomendable, aunque si por algún motivo no podemos realizarla una solución posible es deshabilitar los uploads de archivos (con la opción fileuploads=off_ en el archivo php.ini)..

PHP ha conseguido una sólida presencia en la Web durante estos últimos años, brindando una interface dinámica entre servidores y navegantes. Sin embargo, debido a esto, también puede ser presa de muchos ataques de Internet. A pesar del hecho de que PHP fué diseñado pensando en la seguridad, todo programador debe estar familiarizado con sus aspectos más peligrosos y con las prácticas seguras de programación escenciales para minimizar potenciales riesgos, tal como se explica en este artículo.