Embed Size (px)
DESCRIPTION
Citation preview
Евгений magog Лагода
Web-разработчик с 2006 года PHP, MySQL, JavaScript, Unix
[email protected] eugene.lagoda
О чём будем говорить
Проблемы безопасности Средства PHP для обеспечения
безопасности Советы и рекомендации
[email protected] eugene.lagoda
Случай с LinkedIN
Что украли? Кому и зачем это надо? Так что же делать???
[email protected] eugene.lagoda
Угрозы безопасности
Что нам угрожает?
Потеря данных, потеря доверия
Кто нам угрожает?
Конкуренты, энтузиасты, мы сами!
Зачем нам угрожают?
Выгода, исследования
[email protected] eugene.lagoda
Реализации в PHP
crc32 MD5 SHA1 hash - fnv132, fnv164, joaat (5.4) crypt - Blowfish crypt(‘password', '$2a$07$salt$')
[email protected] eugene.lagoda
Уникальный хеш?
Источник проблем – вычислительная мощность!
Проблема с MD5 Проблема с SHA1
[email protected] eugene.lagoda
Возможные решения
Конфигурация серверного ПО Настройка доступа в файловой системе Что можно сделать с PHP? Фильтрация данных НИКОМУ НЕ ДОВЕРЯТЬ!
[email protected] eugene.lagoda
Планирование и тесты
Оценка рисков TDD Граничные значения и «чего не бывает» Защита «от дурака» Stress Tests
[email protected] eugene.lagoda
Выводы
Оценивать риски и затраты на защиту информации
Чем быстрее алгоритм хеша – тем хуже! Использовать хеши с солью Тестировать систему на предмет
безопасности
[email protected] eugene.lagoda
![Web Security 2016 - php[architect] · Security Anthology 2016 php[architect] Web Security 2016 from php[architect] magazine ... affecting the future in an arguably negative way. Sample](https://img.dokumen.tips/doc/110x75/5f83fb71a6965b49e260fff9/web-security-2016-phparchitect-security-anthology-2016-phparchitect-web-security.jpg)