The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.01.2017 10:57  Библиотека Sodium Compat поможет реализовать верификацию обновлений в WordPress

Доступно несколько первых выпусков криптографической библиотеки Sodium Compat, примечательной тем, что она реализована целиком на языке PHP и не требует для своей работы внешних зависимостей. Sodium Compat совместим с libsodium и может применяться в качестве замены расширения pecl/libsodium.

Ключевым достоинством Sodium Compat является поддержка работы с устаревшими версиями PHP, что является актуальной проблемой, так как полноценные средства для работы с цифровыми подписями и открытыми ключами появились только в относительно новых выпусках PHP. Например, Sodium Compat может работать с PHP 5.2.4, в то время как для использования pecl/libsodium требуется ветка PHP 5.4 и дополнительная внешняя зависимость. Полноценные встроенные средства для работы с RSA-ключами появились только в PHP 5.6.0.

Подобное ограничение мешает внедрению в WordPress средств для верификации устанавливаемых дополнений и обновлений по цифровой подписи. Без повышения минимально поддерживаемой версии интерпретатора PHP проверку по цифровой подписи реализовать не получается из-за отсутствия необходимых криптографических функций, а поднять минимальную версию PHP мешают обязательства перед пользователями. В настоящее время проверка целостности обновления сводится только к сверке хэша MD5 без верификации источника.

Для обеспечения оперативной доставки обновлений начиная с WordPress 3.7 добавлена поддержка автоматической установки обновлений с устранением критических уязвимостей, но данная возможность может сыграть злую шутку в текущей ситуации, когда обновления не проверяются по цифровой подписи. Без полноценной системы верификации компрометация api.wordpress.org и распространение вредоносного обновления через официальные источники может привести к массовому поражению пользовательских систем с WordPress, которые по некоторым оценкам составляют до 27% всех сайтов в глобальной сети.

При этом проблема не умозрительна, например, в ноябре 2016 года была выявлена уязвимость, позволяющая атакующему выполнить свой код на стороне api.wordpress.org. Без проверки по цифровым подписям для успешной атаки на конфигурации WordPress со включенной функцией автоматической установки обновлений достаточно взломать сервер доставки обновлений. В случае применения цифровых подписей получение контроля над сервером распространения обновлений не приведёт к должному результату, так как для проведения атаки понадобиться получить закрытый ключ, при помощи которого осуществляется подпись обновлений.

Sodium Compat позволит выйти из возникшего тупика и реализовать проверку дополнений по цифровым подписям без повышения требований к программному окружению. Для WordPress уже предложен прототип системы верификации по цифровым подписям на базе Sodium Compat. Отсутствие системы верификации не специфично для WordPress и также наблюдается в других CMS на PHP, включая Drupal и Joomla.

  1. Главная ссылка к новости (Ghttps://ma.ttias.be/wordpress...)
  2. OpenNews: В WordPress прекращается поддержка PHP 4 и MySQL 4
  3. OpenNews: Выпуск системы управления web-контентом WordPress 4.5
  4. OpenNews: Конфликт между WordPress и Wix, связанный с нарушением лицензии GPL
  5. OpenNews: Около 74% установок PHP содержат проблемы с безопасностью
  6. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: wordpress, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:14, 17/01/2017 [ответить] [смотреть все]
  • –1 +/
    md5 от содержимого файлов трудно было сделать уже много лет как Не издевайтесь ... весь текст скрыт [показать]
     
     
  • 2.4, Аноним, 12:28, 17/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Речь про цифровые подписи, созданные секретным закрытым ключом, которые можно пр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 13:08, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    подогнать MD5 вообще не проблема
     
     
  • 4.14, Аноним, 14:42, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > подогнать MD5 вообще не проблема

    Подгони 43aa4fe5fa9dc5c4d6664d07d159ce0f

     
     
  • 5.15, Аноним, 16:25, 17/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Подогнал. Выходи давай уже.
     
  • 1.2, freehck, 12:21, 17/01/2017 [ответить] [смотреть все]  
  • –4 +/
    Простите, что-что Реализация криптографических алгоритмов на PHP Серьёзно ... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 12:24, 17/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Именно так https github com paragonie sodium_compat tree master src Core скоро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, freehck, 12:32, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Да я собственно не про скорость работы Почему не сделали обвязочки над уже гото... весь текст скрыт [показать]
     
     
  • 4.7, Аноним, 12:46, 17/01/2017 [^] [ответить] [смотреть все]  
  • +9 +/
    Патамушта разрабы водрпресса не хотят удлиннять список зависимостей. В настоящий момент вордпресс можно развернуть практически на любом веб-хостинге, где есть ТОЛЬКО php и mysql. Видать, не осилили реализовать криптографическую библиотеку на sql -- пришлось писать на php...
     
  • 4.8, Аноним, 12:46, 17/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    это же php, какие биндинги, переписать весь мир на php!
     
  • 4.12, Аноним, 13:13, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    тут дело такое, если у вашего хостинга дырявые библиотеки, а WP крутится на на... весь текст скрыт [показать]
     
  • 4.13, fi, 14:05, 17/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот собственно и ответ такая есть, но не подходит ... весь текст скрыт [показать]
     
  • 2.6, Аноним, 12:38, 17/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Скоро и на Java, и на VBA ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, h31, 13:09, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > Скоро и на Java

    Уже.
    man BouncyCastle
    man JCE

     
  • 3.11, Ydro, 13:11, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Что плохого если код подписан? Неважно код какого языка будет подписан.
     
     
  • 4.18, Аноним, 22:51, 17/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Речь про реализацию криптографических библиотек на неподходяцих для этого языках... весь текст скрыт [показать]
     
  • 3.22, Аноним, 08:26, 20/01/2017 [^] [ответить] [смотреть все]  
  • +/
    няша, на java целая анонимная, децентрализованная, отказоустойчивая сеть со скво... весь текст скрыт [показать]
     
  • 1.16, Аноним, 19:40, 17/01/2017 [ответить] [смотреть все]  
  • +1 +/
    А почему gpg нельзя вызвать для проверки подписи?
     
     
  • 2.17, Crazy Alex, 21:06, 17/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому что его может не быть
     
     
  • 3.19, Аноним, 23:49, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Пусть поставят.
     
     
  • 4.21, Аноним, 13:32, 18/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Для разворачивателей сайтов на вордпрессе это слишком сложно.
     
  • 1.20, Аноним, 13:32, 18/01/2017 [ответить] [смотреть все]  
  • +/
    Мда И это вместо того, чтобы пнуть юное дарование, рулящее сайтом, в сторону ... весь текст скрыт [показать]
     
     
  • 2.23, Онаним, 08:47, 26/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот и я думаю: а почему бы им ни написать библиотеку BAT-файлов, чтобы я мог вебсервер с HTTP 2 под DOS на своём стареньком 486-м поднять...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList