- Katılım
- 3 yıl 8 ay 3 gün
- Mesajlar
- 25,264
- Tepkime puanı
- 8,715
- Yaş
- 35
- Konum
- Memed' Home
- İsim
- CHRS
- Memleket
- Neresi?
- Meslek
- IzdırapÇI
- Cinsiyet
- Medeni Hal
Suhosin nedir?
Suhosin ('su-ho-shin' olarak telaffuz edilir) PHP kurulumları için gelişmiş bir koruma sistemidir. Sunucu ve kullanıcıları PHP uygulamalarında ve PHP çekirdeğinde bilinen ve bilinmeyen kusurlardan korumak üzere tasarlanmıştır. Suhosin, bağımsız olarak veya kombinasyon halinde kullanılabilen iki bağımsız parça halinde gelir. İlk bölüm, PHP göbeğine karşı küçük bir düzeltme eki olup, arabellek taşmalarına veya biçim dize güvenlik açıklarına karşı birkaç düşük seviyeli koruma uygulayan ve ikinci bölüm çok sayıda diğer korumayı uygulayan güçlü bir PHP uzantısıdır.
Neden Suhosin?
Suhosin'in yeni kullanıcıları için en önemli sorulardan biri, neden gerçekten gereklise ve yamayı, uzantıyı veya ikisinin bir birleşimini kullanarak ne kazanıyorsa, neden Suhosin'i kullanmaları gerektiğidir.
Bu sorunun cevabı, PHP kullanımınızın ne olduğuna bağlı. PHP'yi yalnızca kendi sunucunuz için ve yalnızca kendi komut dosyalarınız ve uygulamalarınız için kullanıyorsanız, kodunuza yeterince güveniyorsanız, kendiniz karar verebilirsiniz. Bu durumda muhtemelen Suhosin uzantısına ihtiyacınız yoktur. Çoğu özellik sunucuları savunmasız programlama tekniklerine karşı korumak içindir. Bununla birlikte, PHP, uygulamaların geliştirilmesi sırasında genellikle denetlenen bir çok tuzağa neden olan çok karmaşık bir programlama dilidir. Hatta PHP çekirdek programcıları zaman zaman güvensiz kodlar yazmaktadır, çünkü bir PHP tuzağı hakkında bir fikriniz yoktu. Bu nedenle, emniyet ağı olarak Suhosin bulundurmak iyi bir fikirdir. Suhosin-Patch diğer taraftan sunucunuzu olası tampon taşmalarından ve Zend Motor'daki ilgili açıklardan koruyan Zend Motoru Koruma özellikleri ile birlikte gelir. Tarih, bu hataların birkaçının önceki PHP sürümlerinde her zaman var olduğunu gösterdi.
Yalnızca kendi PHP betiklerini çalıştırmakla kalmazsanız, 3. taraf PHP uygulamalarını da kendiniz veya olası müşteriler için barındırıyorsanız, kullandığınız PHP uygulamalarının kod kalitesine güvenemezsiniz. Maalesef, PHP dilinin tuzaklarının programcılar arasında yaygın olarak bilinmediği bir gerçektir. Bu tuzaklardan birçoğu geçen yıl yayınlanan PHP-Güvenlik kitaplarında belgelenmemiştir. Bunun temel nedeni, kitapların piyasada ilk olması için aceleyle yazıldığı gerçeğinden ve bu kitapların çoğunun güvenlik uzmanları tarafından değil, PHP programcıları tarafından yazıldığı gerçeğinden kaynaklanıyor. Bu kitapların en kötüsü, açıklanan sorunu düzeltebilecek ancak uygulamanıza daha tehlikeli güvenlik açıkları getiren örnekleri içeren Oreilly'nin yazısıdır.
Bu kitapların bir başka yaygın hatası, PHP'deki "uzak kod içerilmesi güvenlik açıkları" içindeki en tehlikeli sorunun, yapılandırmada allow_url_fopen'i (veya PHP 5.2.x'de allow_url_include) devre dışı bırakarak düzeltilebileceği şehir efsanesini yaymalarıdır. Bu bilgi sadece yanlış, çünkü bu yapılandırma direktifleri, php: // input veya data: // URL'ler üzerinden saldırılara karşı KENDI KENDI KENDI KENDI KENDI KENDI KENDI KENDI KILILIYORSUNUZ. Suhosin ve Eski Sertleştirme Düzeltme Eki, URL ekindeki tüm saldırıları kapatan tek koruma yöntemidir.
Özetle, Suhosin'i kullanmak sizin özgür seçiminizdir. Sunucularınız ve işletmeniz için ek koruma istiyorsanız, yalnızca uzantıyı ve düzeltme ekini kullanmanızı şiddetle tavsiye edebiliriz. Daima kendinizi ve kullanıcılarınızı değil, aynı zamanda İnternette (Spam- / DDOS-) bir saldırı dronuna dönüştürüldükten sonra sunucunuz tarafından saldırıya maruz kalabilecek diğer kişileri de koruduğunuzu unutmayın.
Suhosin ('su-ho-shin' olarak telaffuz edilir) PHP kurulumları için gelişmiş bir koruma sistemidir. Sunucu ve kullanıcıları PHP uygulamalarında ve PHP çekirdeğinde bilinen ve bilinmeyen kusurlardan korumak üzere tasarlanmıştır. Suhosin, bağımsız olarak veya kombinasyon halinde kullanılabilen iki bağımsız parça halinde gelir. İlk bölüm, PHP göbeğine karşı küçük bir düzeltme eki olup, arabellek taşmalarına veya biçim dize güvenlik açıklarına karşı birkaç düşük seviyeli koruma uygulayan ve ikinci bölüm çok sayıda diğer korumayı uygulayan güçlü bir PHP uzantısıdır.
Neden Suhosin?
Suhosin'in yeni kullanıcıları için en önemli sorulardan biri, neden gerçekten gereklise ve yamayı, uzantıyı veya ikisinin bir birleşimini kullanarak ne kazanıyorsa, neden Suhosin'i kullanmaları gerektiğidir.
Bu sorunun cevabı, PHP kullanımınızın ne olduğuna bağlı. PHP'yi yalnızca kendi sunucunuz için ve yalnızca kendi komut dosyalarınız ve uygulamalarınız için kullanıyorsanız, kodunuza yeterince güveniyorsanız, kendiniz karar verebilirsiniz. Bu durumda muhtemelen Suhosin uzantısına ihtiyacınız yoktur. Çoğu özellik sunucuları savunmasız programlama tekniklerine karşı korumak içindir. Bununla birlikte, PHP, uygulamaların geliştirilmesi sırasında genellikle denetlenen bir çok tuzağa neden olan çok karmaşık bir programlama dilidir. Hatta PHP çekirdek programcıları zaman zaman güvensiz kodlar yazmaktadır, çünkü bir PHP tuzağı hakkında bir fikriniz yoktu. Bu nedenle, emniyet ağı olarak Suhosin bulundurmak iyi bir fikirdir. Suhosin-Patch diğer taraftan sunucunuzu olası tampon taşmalarından ve Zend Motor'daki ilgili açıklardan koruyan Zend Motoru Koruma özellikleri ile birlikte gelir. Tarih, bu hataların birkaçının önceki PHP sürümlerinde her zaman var olduğunu gösterdi.
Yalnızca kendi PHP betiklerini çalıştırmakla kalmazsanız, 3. taraf PHP uygulamalarını da kendiniz veya olası müşteriler için barındırıyorsanız, kullandığınız PHP uygulamalarının kod kalitesine güvenemezsiniz. Maalesef, PHP dilinin tuzaklarının programcılar arasında yaygın olarak bilinmediği bir gerçektir. Bu tuzaklardan birçoğu geçen yıl yayınlanan PHP-Güvenlik kitaplarında belgelenmemiştir. Bunun temel nedeni, kitapların piyasada ilk olması için aceleyle yazıldığı gerçeğinden ve bu kitapların çoğunun güvenlik uzmanları tarafından değil, PHP programcıları tarafından yazıldığı gerçeğinden kaynaklanıyor. Bu kitapların en kötüsü, açıklanan sorunu düzeltebilecek ancak uygulamanıza daha tehlikeli güvenlik açıkları getiren örnekleri içeren Oreilly'nin yazısıdır.
Bu kitapların bir başka yaygın hatası, PHP'deki "uzak kod içerilmesi güvenlik açıkları" içindeki en tehlikeli sorunun, yapılandırmada allow_url_fopen'i (veya PHP 5.2.x'de allow_url_include) devre dışı bırakarak düzeltilebileceği şehir efsanesini yaymalarıdır. Bu bilgi sadece yanlış, çünkü bu yapılandırma direktifleri, php: // input veya data: // URL'ler üzerinden saldırılara karşı KENDI KENDI KENDI KENDI KENDI KENDI KENDI KENDI KILILIYORSUNUZ. Suhosin ve Eski Sertleştirme Düzeltme Eki, URL ekindeki tüm saldırıları kapatan tek koruma yöntemidir.
Özetle, Suhosin'i kullanmak sizin özgür seçiminizdir. Sunucularınız ve işletmeniz için ek koruma istiyorsanız, yalnızca uzantıyı ve düzeltme ekini kullanmanızı şiddetle tavsiye edebiliriz. Daima kendinizi ve kullanıcılarınızı değil, aynı zamanda İnternette (Spam- / DDOS-) bir saldırı dronuna dönüştürüldükten sonra sunucunuz tarafından saldırıya maruz kalabilecek diğer kişileri de koruduğunuzu unutmayın.
