Дирижабль, действительно безопасная PHP CMS


Атаки на популярные системы управления контентом слишком распространены, и с учетом того, что в настоящее время хакерство считается крупным бизнесом, нет никаких признаков снижения количества атак. Таким образом, CMS оказались в эпицентре бури, считая себя главной целью как для скрипачей, так и для профессиональных хакеров, поскольку они занимают самую большую долю рынка электронной коммерции.

Статистика, представленная в последнем отчете Sucuri о тенденциях взлома веб-сайтов, рисует удручающую картину, в основном из-за того, что пользователи широко применяют CMS, которая

… создает серьезные проблемы для Интернета в целом, поскольку приводит к большому притоку неквалифицированных веб-мастеров и поставщиков услуг, ответственных за развертывание и администрирование этих сайтов.

Само по себе это не говорит об уязвимостях безопасности, присущих самим CMS; просто взгляните на постоянно растущие списки CVE (Common Vulnerabilities and Exposures), относящиеся к трем популярным фреймворкам:

CVE для WordPress

CVE для Joomla

CVE для Drupal

и если вы добавите к этому последнюю и растущую тенденцию в области программ-вымогателей, ситуация быстро станет намного страшнее.

Итак, какие здесь варианты, как это сделать? Безусловно, использование ряда передовых практик, а также здравого смысла, таких как мониторинг списков CVE или исправление и обновление систем, действительно помогает, но они не панацея, поскольку не все имеют или могут быть обучены их следованию.

Кроме того, есть возможность проверки безопасности и тестирования на проникновение, которые являются дорогостоящими и доступны для квалифицированных профессионалов, хотя любой, кто размещает веб-сайт, должен, по крайней мере, быть знаком с XSS. К счастью, мы уже позаботились об этой части, проверив и предлагая два отличных образовательных сервиса, Hacksplaining и XSShunter.

Другой, лучший вариант, который напрямую связан с источником проблемы, — это исправить инфраструктуру, саму CMS. Идея настолько проста, насколько нова.

Давайте начнем с усиленной CMS, которая с самого начала может в достаточной степени защитить своего пользователя.

Давайте обратим внимание на недостатки наиболее популярных CMS и будем использовать их в качестве ориентира.

Именно это и сделала Airship, безопасная PHP CMS с открытым исходным кодом, разработанная Paragon Initiative Enterprises.

Но что подразумевается под безопасным, насколько он безопасен и почему он более безопасен, чем другие?

Paragon, по-видимому, сделал свою домашнюю работу и внимательно изучил как хорошие, так и плохие стороны большой тройки, WordPress, Joomla и Drupal, как указано в отчете О (не) безопасности популярных систем управления контентом с открытым исходным кодом, написанных на PHP. , который сравнивает их с достоинствами собственной CMS дирижабля.

Из этого отчета мы извлекли уродливые ключевые точки, поскольку они представляют больший интерес:

Мудрый безопасности

Две из трех самых популярных CMS не делают автоматических обновлений

Joomla не предлагает автоматических обновлений безопасности. В случае обнаружения уязвимости в системе безопасности Joomla и выпуска исправления каждый отдельный оператор сайта Joomla должен проверить и установить обновление вручную. Пока патч не будет применен, ваши системы уязвимы. Как следствие, на большинстве веб-сайтов Joomla по-прежнему используются устаревшие версии Joomla.

Затем тот, кто это делает, делает это

небезопасно. Автоматические обновления WordPress не имеют криптографической подписи с (автономным) закрытым ключом. Это означает, что если злоумышленник может взломать их серверы обновлений и загрузить вредоносную загрузку, он может установить троян на 26,6% веб-сайтов в Интернете.

WordPress и Joomla не используют подготовленные операторы, в то время как Drupal почти использует

WordPress использует соленый MD5 для хеширования паролей, в то время как Drupal использует неоптимальный SHA512Crypt.

Joomla не использует экранирование вывода с учетом контекста

Более того,

Разработчики WordPress с гордостью хвастаются тем, что WordPress поддерживает каждый четвертый веб-сайт, и гордятся тем, что поддерживают неподдерживаемые версии PHP как функцию «удобства использования», а не как обязательство по обеспечению безопасности, которое потенциально может нарушить работу Интернета для всех.

В конце концов, есть два способа решить эту дилемму: заставить основные команды каждого большого проекта CMS серьезно относиться к безопасности или перейти к проекту CMS, который уже серьезно относится к безопасности.

Paragon выбрала последнее и настоятельно призывает вас тоже.

Во встречном предложении Airship устраняет вышеупомянутые недостатки следующим образом:

О безопасном хранении паролей Большинство функций шифрования и хранения паролей обеспечивается их оболочкой libsodium, Halite.

При автоматических обновлениях AirShip использует автоматические обновления, которые, кроме того, подписываются с помощью криптографии с открытым ключом, при этом уведомляет всех и устанавливает обновление в течение часа после исправления.

Они охватывают минимум, но есть также:

Подготовленные заявления

Защита от CSRF

Контекстно-зависимое экранирование вывода

Политика безопасности контента

Закрепление открытого ключа HTTP

Хеширование паролей

И список продолжается.

Есть очень полезная сравнительная таблица, которая на первый взгляд демонстрирует сильные стороны Airship по сравнению с недостатками других CMS.

Что еще более интригует, так это то, что в случае установки Tor Airship может проксировать все сетевые запросы через него, тем самым предотвращая раскрытие IP-адреса сервера.

CMS Wise

Структура дирижабля аналогична структуре MVC, отличается только терминология; Модель называется Blueprint, View называется Lens (по сути, это файлы шаблонов, отображаемые Twig), а Controller называется Landing.

Настройку упрощает система Gears, которая предоставляет интерфейс самим базовым классам и позволяет адаптировать их во время выполнения.

Тогда есть

Каюты: автономные приложения

Гаджеты: изменяет функциональность существующей кабины (или самого двигателя).

Мотивы: изменяет внешний вид существующей каюты.

Монтаж

Минимальные требования:

PHP 7.0 или новее

PECL Libsodium 1.0.6 или новее

Libsodium 1.0.10 или новее

PostgreSQL 9.5 и ext / pgsql

Дирижабль также может работать как докеризованный образ через docker-compose.

Версия 1.3.0 была выпущена 29 августа, и, поскольку все еще находится в зачаточном состоянии, ошибки, проблемы и задачи должны быть чем-то естественным, чтобы наткнуться на них. Тем не менее, как проект Github, он открыт для внесения вклада, будь то кодирование, документация, анализ безопасности, тестирование конечных пользователей и т. д. Первые учебные пособия должны появиться в ближайшее время, как указано в этом открытом выпуске.

Это оставляет нам вопрос, действительно ли Airship является ответом на вопрос о более безопасной сети. Конечно, похоже, что потенциал есть, но пока он не получит широкого распространения, мы не можем быть уверены.


Добавить комментарий