Fortalecimiento de PHP

Algunas generalidades sobre la configuración de PHP (siempre que podamos tocarla) en Hardening PHP mediante php.ini. Los lenguajes van ofreciendo estas medidas para remediar fallos detectados a un nivel más profundo. No es la panacea (e, insisto, a lo mejor ni siquiera podemos tocarlo, o los programas no funcionan) pero puede ser una buena idea echar un vistazo.

Anuncios

PHP y la seguridad

En State of the Art Post Exploitation in Hardened PHP Environments se habla del trabajo de Stefan Esser sobre fallos de seguridad y ataques realizados en instalaciones de PHP previamente fortalecidas. Es bastante técnico (al menos para mi) pero me pareció interesante la primera parte, donde hace un repaso de las medidas de protección disponibles en el lenguaje actualmente (y sus defectos y debilidades).

Asegurando PHP

PHP es un lenguaje muy popular y con un historial extenso en cuanto a problemas de seguridad. Recientemente descubrí la serie de conferencias Web 2.0 Security & Privacy y en la edición de 2007 SStanislav Malyshev da un repaso a las distintas aproximaciones seguidas a lo largo del tiempo en la mejora de los aspectos de seguridad: Securing PHP – Approaches to Web Application Security (pdf), con su balance de aspectos positivos y negativos en cada caso.