Die Suhosin-Extension zur PHP-Härtung

Inhalt:

PHP leidet nicht nur unter den Sicherheitslücken, die durch nachlässige Programmierer in Foren, CM-Systeme und Weblogs eingebaut werden, sondern hatte in der Vergangenheit auch immer wieder mit Fehlern direkt in der Zend Engine oder einer der unzähligen zum Lieferumfang gehörenden Extensions zu kämpfen.

Stefan Esser, Gründer des Hardened-PHP-Projects, Mitglied des PHP-Teams und in Sicherheitskreisen durch seine Advisories u.a. zu Samba und der Spielkonsole X-Box zu einiger Bekanntheit gelangt, kam im Jahr 2004 zu dem Schluss, dass generische Schutzmechanismen gegen Probleme im PHP-Code angebracht seien. Verwundbare PHP-Anwendungen standen zunächst nicht im Fokus des Hardened-PHP-Projektes, das aus diesen Überlegungen entstand, sondern der Schutz des Kerns von PHP, der Zend Engine. Aus diesem Grund wurde der Hardened-PHP-Patch entwickelt, welcher eine gegen Bufferoverflows gehärtete Version von PHP war.

Mitte 2006 wurde der Patch dann durch "Suhosin" abgelöst. Suhosin ist das südkoreanische Wort für "Schutzengel" - die so benannte Software stellt ein 2-teiliges PHP-Sicherheitssystem dar. Es besteht zum einen aus dem Suhosin-Patch, der sich nur um den Schutz des PHP-Kerns kümmert, und zum anderen aus einer PHP-Extension, die eine Vielzahl von Features unterstützt, um ohne negative Auswirkungen auf PHP-Anwendungen Ihre PHP-Installation zu schützen. Seit Suhosin nun als Extension verfügbar ist, liefern viele Linux-Distributionen die Extension als fertiges Paket mit aus.

Wie Suhosin, vor was und gegen welche Gefahren schützt, wird in diesem Vortrag erklärt.

Peter Prochaska

Referent:

Peter Prochaska Peter Prochaska ist Geschäftsführer von hipmedia-Systemhaus und als PHP-Programmierer und Security-Berater für Webanwendungen tätig. Er führt für verschiedene Firmen, aber auch Open-Source-Projekte Security-Audits durch. Als PHP-Entwickler hat er es mit Programmieraufträgen für unterschiedliche, größere Firmen zu tun, bei denen er auch größere Projekte als verantwortlicher Projektleiter betreut hat. Er ist als Referent für PHP- und Security-Themen in ganz Deutschland unterwegs und hält Schulungen und Vorträge. Er ist Co-Autor des beliebten Buches "PHP-Sicherheit".