Archivi per la categoria ‘sicurezza’

Offuscare o proteggere il nostro codice PHP – Introduzione

di Davide Martignetti il 21 luglio 2008 | 5 Commenti »

PHP Obfuscator, gratuito

Attenzione: Questo articolo è un’introduzione alle possibili soluzioni adottabili per offuscare il nostro codice, le varie soluzioni saranno approfondite in una serie di articoli successivi.

Penso che molti programmatori PHP sarebbero contenti di poter proteggere il loro codice da sguardi indiscreti o da utilizzi non autorizzati.
Si pensi per esempio a quando si realizza una bozza di un progetto, sareste contenti di sapere che il committente lo distribuisce a vostra insaputa? A me no di certo. Potremmo ospitare la bozza su un nostro server senza consegnare il codice, potremmo anche rimuovere il progetto dopo la sua analisi da parte del cliente, ma se ciò non fosse possibile per motivi di stile o per altri motivi dovremmo affidarci ad altre tecniche.

Esistono due principali metodi che ci permettono di proteggere il nostro codice, attenzione però: il livello di protezione non è mai totale (è cioè sempre possibile aggirare il metodo di protezione per ottenere il sorgente dello script) ma con un po’ di fortuna riusciremo ad allontanare il nostro codice da sguardi indiscreti, eccoli:

(continua…)

Generare password casuali

di Daniel il 18 febbraio 2008 | 4 Commenti »

PadlockIn tutte le applicazioni che richiedono l’autenticazione da parte degli utenti un ruolo fondamentale per quanto riguarda la sicurezza dell’intero sistema è rappresentato dalla password inserita. Molte volte (se non nella totalità dei casi) lasciare all’utente la gestione completa della propria password è fonte di rischio visto che per semplice pigrizia l’utente medio utilizza spesso la stessa parola chiave sicuramente appartenente alla tipologia che possiamo definire debole: il proprio nome, date di nascita, parole estremamente corte. Oggi quindi presento una semplice classe per la generazione di password casuali scritta in PHP5.

(continua…)

La questione dei tipi primitivi

di Daniel il 12 febbraio 2008 | 3 Commenti »

Sappiamo tutti (oppure lo scoprite ora) che PHP non è un linguaggio fortemente tipizzato. Questo cosa vuol dire? Significa che non è necessario dichiarare il tipo di una variabile perchè essa possa gestire un particolar tipo di dato. In questo modo potremmo assegnare a $numero il valore 2 oppure “due” alla stessa maniera. Nei linguaggi fortemente tipizzati (C, Java…) è obbligatorio dichiarare il tipo di una variabile prima di assegnarle un valore, valore che chiaramente deve rispettare il tipo specificato.

(continua…)

Tag:, , , ,
Pubblicato in phpblog, sicurezza

Inspekt, la libreria firewall

di Daniel il 7 febbraio 2008 | 1 Commento »

InspektInspekt è una libreria per PHP (4 e 5) promossa dal Open Web Application Security Project (OWASP) in occasione del Spring of Code 2007 e realizzata da Ed Finkler sulla base di quello che era Zend_Filter_Input (ex componente del framework Zend). Lo stesso Ed afferma che dai dati di NIST NVD relativi al 2006 risulta che oltre il 40% di tutte le vulnerabilità riportate riguardano PHP, ma non il linguaggio in sè bensì le applicazioni sviluppate con esso e quindi il codice realizzato. E’ quindi necessario seguire nuovi paradigmi che impongano in un certo qual modo l’applicazione di tecniche di filtering e validation necessarie a garantire il corretto funzionamento delle applicazioni.

(continua…)

Tag:, ,
Pubblicato in sicurezza

php4 è morto

di Daniel il 5 febbraio 2008 | 4 Commenti »

In un comunicato del 13 luglio 2007 gli sviluppatori di PHP davano l’annuncio dell’end of life di PHP4, comunicando che dopo il 31 dicembre 2007 non avrebbero rilasciato ulteriori versioni di PHP4.4. Tuttavia si impegneranno fino al 08/08/08 per gli aggiornamenti sulla sicurezza per dare modo agli sviluppatori di migrare le proprie applicazioni a PHP5 in tutta comodità.

php4end
(continua…)

Tag:, ,
Pubblicato in notizie, sicurezza