Framework niekoniecznie bezpieczniejszy

Łukasz Pilorz, 19 August 2007

Wielokrotnie słyszałem opinię, że korzystanie z gotowych frameworków PHP rozwiązuje podstawowe problemy z bezpieczeństwem aplikacji. Jest w niej dużo racji, zwłaszcza jeśli chodzi o proste projekty tworzone przez niekoniecznie zaawansowanych programistów. Trzeba jednak pamiętać, że wykorzystanie obcego kodu wiąże się z jego jawnością dla potencjalnych atakujących, oraz że nie każdy framework jest tworzony z myślą o bezpieczeństwie.

Nie korzystam na co dzień z takich rozwiązań, zetknąłem się jedynie z Cake, Symfony i CodeIgniter - a okazję, by przyjrzeć się dokładniej, miałem tylko przy tym ostatnim. Z trzech wspomnianych CodeIgniter jest zresztą (moim zdaniem) najbardziej czytelny i najłatwiejszy do analizy. Efektem tego przeglądu było kilka poprawek, które trafiły do wersji 1.5.4.

W trakcie bardzo krótkiej korespondencji na temat zgłoszeń odniosłem wrażenie, że twórcy CodeIgnitera nie przypisują frameworkowi odpowiedzialności za bezpieczeństwo aplikacji. Ma on być ułatwieniem, ale programista nadal musi sam wprowadzić odpowiednie dla danej funkcjonalności zabezpieczenia. Ciekaw jestem, czy to podejście jest podobne w przypadku innych popularnych frameworków. Tak czy inaczej, warto przeanalizować taki kod przed zastosowaniem w poważniejszym projekcie.

MKS atakuje

Łukasz Pilorz, 13 August 2007

Mniej więcej pół roku temu ktoś wymachiwał w sieci próbą ataku XSS o takiej treści: <script src=”http://download.mks.com.pl/lab/test.js”></script>:

Dzisiaj przeglądając korespondencję (66 dni offline - koszmar), trafiłem jeszcze raz na informację o tym skrypcie. Z ciekawości zajrzałem: http://download.mks.com.pl/lab/, mając nadzieję na więcej informacji na temat ataków sprzed pół roku. Zamiast tego - niezbyt porywające statystyki, i mały bonus:

Ups, nie wyszło… To może w ten sposób?