Salasanojen turvallisuus PHP koodissa
#ibm ja @developerWorks on hyvä paikka seurata alan viimeisintä kehitystä. Jos käytät PHP -kieltä ja tallennat salasanoja tietokantaan, tarkista käyttämäsi PHP:n versio! Se onnistuu komennolla php -v jonka pitää näyttää PHP 5.5.x tai uudemmalta. Palvelimella olevan PHP version voi tarkistaa erillisellä phpinfo() ohjelmalla tai palvelimen hallintapaneelista.
PHP ohjelmointikieli kehitettiin 1990-luvun puolessa välissä ja silloin ei ajateltu, että sitä tullaan käyttämään web ohjelmoinnissa. Koska web ohjelmointia ei silloin ollut edes olemassa. Nyt, 20 vuoden kuluttua tilanne on toinen. PHP:tä käytetään yleisesti melkein kaikissa web sovelluksissa. Ja kuten aina, niin sen tietoturvasta täytyy pitää huolta. Tähän saakka salasanat on tallennettu MD5 tai SHA salattuina tietokantaan. Mutta käyttämällä "alan" ohjelmia sekä ATI RV ja nVidia grafiikkaprosessoreita, voidaan hyväkin salasana murtaa alle tunnissa.
Siksi uusi PHP 5.5 versio sisältää Anthony Ferrara'n kehittämiä funktiota, joilla salasanat voidaan tallentaa turvallisemmin. Ainahan tämä on kilpajuoksua rosvojen kanssa. Muutama vuosi sitten SHA-1 menetelmää pidettiin turvallisena, mutta ei enää. Pääasia että muistatte tallentaa salasanat ainakin jotenkin suolattuna (hash).
Ohessa iltalukemista aiheesta ja muutama linkki alan tietoihin:
http://www.ibm.com/developerworks/web/library/wa-php-renewed_2/index.html?ca=drs-&ce=ism0070&ct=is&cmp=ibmsocial&cm=h&cr=crossbrand&ccy=us
Password security in modern PHP
Ei kommentteja:
Lähetä kommentti