Wednesday Thursday Friday Saturday All Events All Speakers 

Details

Suhosin - PHP richtig sicher machen

von Peter Prochaska (Hardened-PHP-Project)

Freitag, 01.06.2007, Saal 4: Kaiserslautern , 17:00-18:00 Uhr

PHP leidet nicht nur unter den Sicherheitslücken, die durch nachlässige Programmierer in Foren, CM-Systeme und Weblogs eingebaut werden, sondern hatte in der Vergangenheit auch immer wieder mit Fehlern direkt in der Zend Engine oder einer der unzähligen zum Lieferumfang gehörenden Extensions zu kämpfen. Stefan Esser, Gründer des Hardened-PHP-Projects, Mitglied des PHP-Teams und in Sicherheitskreisen durch seine Advisories u.a. zu Samba und der Spielkonsole X-Box zu einiger Bekanntheit gelangt, kam im Jahr 2004 zu dem Schluss, dass generische Schutzmechanismen gegen Probleme im PHP-Code angebracht seien. Verwundbare PHP-Anwendungen standen zunächst nicht im Fokus des Hardened-PHP-Projektes, das aus diesen Überlegungen entstand, sondern der Schutz des Kerns von PHP, der Zend Engine. Aus diesem Grund wurde der Hardened-PHP-Patch entwickelt, welcher eine gegen Bufferoverflows gehärtete Version von PHP war. Mitte 2006 wurde der Patch dann durch "Suhosin" abgelöst. Suhosin ist das südkoreanische Wort für "Schutzengel" - die so benannte Software stellt ein 2-teiliges PHP-Sicherheitssystem dar. Es besteht zum einen aus dem Suhosin-Patch, der sich nur um den Schutz des PHP-Kerns kümmert, und zum anderen aus einer PHP-Extension, die eine Vielzahl von Features unterstützt, um ohne negative Auswirkungen auf PHP-Anwendungen Ihre PHP-Installation zu schützen. Seit Suhosin nun als Extension verfügbar ist, liefern viele Linux-Distributionen die Extension als fertiges Paket mit aus. Wie Shoshin, vor was und gegen welche Gefahren schützt, wird in diesem Vortrag erklärt.

Über den Autor Peter Prochaska:

Peter Prochaska ist Security-Berater bei der DATEV in Nürnberg. Nebenbei ist er in ganz Deutschland unterwegs und hält Vorträge auf verschiedenen Konferenzen (PHP Conference, GUUG Frühjahrsfachgespräch,...) zu Themen wie PHP, Sicherheit und dem Hardened-Patch. Er schreibt zusammen mit Christopher Kunz eine monatliche Kolumne für das PHP-Magazin. Weiterhin sind sie Autoren des Buches "PHP-Sicherheit", welches im Januar 2006 beim dpunkt-Verlag erscheinen wird. Peter Prochaska ist Mitglied im Hardened-PHP-Project und ist dort für die Firmenkundenbetreuung und Security Audits zuständig.

<< back to overview

Der LinuxTag bedankt sich bei seinen Sponsoren!GUUGLinux VerbandIBMNovellSunLPI e.V.Linux MagazinC & L VerlagIT Administratorcom!VoIPphones.deLinux New MediaHakin9Pro-LinuxLinux UserT3N MagazinISIS Report Spezial