Instalações PHP não seguras

Algo pouco observado pelos desenvolvedores web, mas que deveria ser muito bem avaliado antes de contratar um serviço de hospedagem de sites ou sistema web feitos em PHP, é a versão do PHP que está instalado nestes servidores. Este tipo de avaliação conta, e muito, na hora de se avaliar o quanto o seu site ou sistema é seguro.

[ Hits: 6.380 ]

Por: Augusto de Paula Pereira em 01/06/2015 | Blog: http://www.augustopereira.com.br


Introdução



Algo pouco observado pelos desenvolvedores web, mas que deveria ser muito bem avaliado antes de contratar um serviço de hospedagem de sites, ou sistema web feitos em PHP, é a versão do PHP que está instalado nestes servidores. Este tipo de avaliação conta, e muito, na hora de avaliar o quanto o seu site ou sistema é seguro.

Conforme pesquisa promovida pela W3Techs, pouco mais de 80% dos sites espalhados por todo o mundo utilizam a versão 5 do PHP. Ou seja, 20% ainda se encontram vulneráveis à falhas das versões 4 e inferiores, cujo suporte está descontinuado desde o início de 2008.

Refinando os dados

O mais interessante, é que 88,7% dos sites que utilizam a versão 5 do PHP estão ainda nas versões 5.2, 5.3 e 5.4, conforme podemos ver na distribuição de dados abaixo:
Linux: Instalações PHP não seguras
Segundo o blog do Anthony Ferrara, facilitador de desenvolvimento do Google, algo mais surpreendente vem à tona, quando avaliamos quais as subversões do PHP 5 são consideradas seguras.

Na data da avaliação, dezembro de 2014, de todas as subversões do PHP 5, as únicas que até o momento não possuíam nenhum tipo de vulnerabilidade ou falha de segurança conhecida eram as seguintes:
  • 5.6.4
  • 5.5.20
  • 5.4.36

Além destas, existem algumas versões que são mantidas atualizadas por mantenedores de distribuições GNU/Linux e que se pode considerar versões seguras, uma vez que patches de segurança são constantemente disponibilizados a seus usuários:
  • 5.5.12
  • 5.5.9
  • 5.4.16
  • 5.4.4
  • 5.3.10
  • 5.3.3
  • 5.3.2
  • 5.1.6

Ou seja, apenas um total de 11 subversões da versão 5 do PHP são consideradas seguras. Assim, de acordo com as subversões existentes temos a seguinte proporção:
  • Seguros: 21,71%
  • Não Seguros: 78,29%

E isso, considerando que as instalações nos servidores estão com todos os patches de correção atualizados. Senão este número seria ainda menor.

    Próxima página

Páginas do artigo
   1. Introdução
   2. O que pode ser feito sobre as instalações PHP não seguras?
Outros artigos deste autor

Dados sensíveis em arquivos com extensão .inc

Leitura recomendada

Criptografia do método GET no PHP

Dicas básicas de segurança no PHP

Segurança: Autenticando o PHP com HTTP (Authentication Required)

PHP: Programando com segurança

Autenticação de sites com PHP e MySQL

  
Comentários
[1] Comentário enviado por removido em 03/06/2015 - 21:07h

Legal saber disso. Rápido e direto. Legal Mesmo!

Mateus Schroeder da Silva.

[2] Comentário enviado por leorocco em 06/06/2015 - 10:32h


Bem bacana! Existe um lugar central onde, especificamente, podemos nos informar das falhas conhecidas com detalhes? Um abraço e obrigado!

[3] Comentário enviado por Augusto-Pereira em 07/06/2015 - 11:08h


[2] Comentário enviado por leorocco em 06/06/2015 - 10:32h


Bem bacana! Existe um lugar central onde, especificamente, podemos nos informar das falhas conhecidas com detalhes? Um abraço e obrigado!


Olá leorocco!
O melhor lugar para isso é o próprio site de manutenção do PHP: www.php.net. Neste link você tem acesso a um compilado de todas as versões: php.net/manual/pt_BR/doc.changelog.php . O que foi corrigido em uma versão específica, saiba que é falha em uma versão anterior.

[4] Comentário enviado por viniciusmunizm em 10/06/2015 - 11:32h

Sem querer fazer propaganda, mas já fazendo..
Na http://hoo.st, você pode escolher qual versão e módulos do PHP deseja utilizar em sua conta de hospedagem, entre as versões 4 até a 5.7


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts