Rabu, 11 September 2013
Kamis, 29 Agustus 2013
Sabtu, 03 Agustus 2013
SUHOSIN
Rohmatun Yuliani
NIM: STI201000564
SUHOSIN
Suhosin adalah sistem perlindungan canggih untuk instalasi PHP
yang dirancang untuk melindungi server dan pengguna dari kelemahan yang dikenal
dan tidak dikenal dalam aplikasi PHP dan inti PHP. Suhosin datang dalam dua
bagian independen, yang dapat digunakan secara terpisah atau dalam kombinasi. Bagian
pertama adalah patch kecil terhadap inti PHP, yang mengimplementasikan beberapa
tingkat rendah perlindungan terhadap bufferoverflows atau format string
kerentanan dan bagian kedua adalah ekstensi PHP yang kuat yang
mengimplementasikan semua perlindungan lain.
Berbeda dengan PHP Pengerasan-patch Suhosin adalah biner kompatibel untuk instalasi PHP normal,
yang artinya adalah kompatibel dengan pihak ke-3 ekstensi biner seperti
ZendOptimizer. Untuk mendapatkan suhosin Anda dapat mengunjungi situs http://www.hardened-php.net/suhosin
Suhosin merupakan
bagian dari projek Hardened PHP, yaitu
projek untuk membuat PHP lebih aman. Suhosin berupa extension PHP yang akan
mengecek berbagai hal seperti input yang mencurigakan (untuk mendeteksi SQL
injection misalnya), mencegah terjadinya bug pada Zend engine, membuat setting
default PHP menjadi lebih secure (misalnya mematikan fitur remote include by
default), dsb. Keterangan lebih detil mengenai fitur dan cara penggunaan
Suhosin bisa dibaca di homepage Suhosin.
Demi keamanan yang
lebih baik, di server hosting, instalasi PHP diperlengkapi dengan Suhosin mulai
bulan Januari 2007.
PHP diperlengkapi
Suhosin bukanlah "silver bullet" atau solusi menyeluruh yang sudah
sempurna. Faktor terpenting menjaga keamanan tetaplah berada di tangan Anda sebagai
programer/developer untuk tetap melakukan programming secara secure dan
memasang aplikasi/library PHP yang up to date.
Pertanyaan
paling penting untuk pengguna baru suhosin adalah, mengapa mereka harus menggunakan suhosin, jika
benar-benar dibutuhkan dan apa yang mereka dapatkan dengan menggunakan patch,
extension, atau kombinasi dari keduanya? Jawaban dari
pertanyaan tersebut bergantung pada untuk apa anda menggunakan PHP. Jika Anda
menggunakan PHP hanya untuk server Anda sendiri dan hanya untuk script dan
aplikasi milik Anda sendiri, maka Anda bisa menilai sendiri, jika Anda cukup
mempercayai code Anda sendiri. Dalam kasus seperti ini kemungkinan besar Anda
tidak memerlukan extension Suhosin. Karena sebagian besar fitur-fiturnya
dimaksudkan untuk melindungi server dari serangan tehnik-tehnik kerentanan
programming. Bagaimanapun PHP adalah sebuah bahasa pemrograman yang sangat
kompleks dengan banyak perangkap yang jarang diawasi selama pengembangan
aplikasi. Bahkan programmer PHP core menulis code secara tidak aman dari waktu
ke waktu, karena mereka tidak tahu tentang adanya perangkap PHP.
Karena itu
memiliki Suhosin sebagai jaring pengaman Anda adalah sebuah ide yang bagus.
Suhosin-patch disisi lain datang dengan perlindungan Zend Engine, fitur yang
melindungi server Anda dari kemungkinan bufferoverflows dan kerentanan di dalam
Zend Engine. Sejarah telah menunjukkan bahwa beberapa bug ini selalu ada
di versi PHP sebelumnya.
...sedikit pengetahuan tentang suhosin dengan harapan manfaat yang besar bagi kita semua...
Langganan:
Postingan (Atom)