Gigahost

Websites med PHP nu beskyttet af Suhosin

September 23rd, 2007 | Tags: nyhed, php |

Fra i dag er alle websites på Gigahost beskyttet af Hardened-PHP-projektets “skytsengel”, Suhosin. Bag det koreanskklingende navn gemmer sig et system som tager højde for de mest udbredte typer af sikkerhedshuller og fejl i websider, der benytter PHP.

Vi har længe haft intern debat om hvorvidt vi burde benytte Suhosin, for egentlig ændrer Suhosin den måde PHP-scripts virker på, ved at indføre ekstra sikkerhedstjek. I den perfekte verden burde disse fejl rettes i selve PHP-scriptet, og ikke i et sikkerhedssystem på et andet niveau. Når vi alligevel vælger at benytte Suhosin er det fordi vi ofte ser, at sikkerhedsfejl i forskellige scripts (eksempelvis i Joomla!-moduler og i andre CMS-systemer) lægger de fejlagtige websites ned.

Det anbefales naturligvis stadig kraftigt, at man opdaterer sine scripts til nyeste versioner hvor sikkerhedsproblemerne er løst, men det er vores indtryk at en stor del af vores brugere ikke gør dette. Vi håber, at Suhosin-systemet i hvert fald i nogle af tilfældene kan hindre et angreb på websites hostet hos os.

Indføringen af Suhosin vil normalt ikke skabe problemer med eksisterende websites på Gigahost. Men hvis man ønsker det, kan man få Suhosin slået fra på et eller flere af sine domæner. Skriv blot til vores support.

11 kommentarer

Christian Wahl writes:
September 23rd, 2007 at 16:57
Ohh, svede! Det er godt at se at I opdaterer jeres software til tider, men denne her er vild. Har I nogle godt links til fora der beskæftiger sig med hvordan man kan gøre sin kode mere sikker…? – Jeg kan se at mine “foreach” i hvertfald ikke er så populære i dette system.
Ralf Bach writes:
September 23rd, 2007 at 19:10
Kan det passe, at websitesne loader langsommere efter at suhosin er blevet installeret?
gigahost writes:
September 24th, 2007 at 20:23
Ralf Bach: Nej, det burde ikke have effekt. Du er dog altid velkommen til at skrive til os på support@gigahost.dk med hvad du helt præcist oplever, så kan vi prøve at give et bud på årsagen til at en side loader langsomt.
Ralf Bach writes:
September 27th, 2007 at 19:19
@gigahost

Det mente jeg heller ikke, jeg ramte sikkert bare en spidsbelastning p� serveren og derfor svarede den m�ske lidt langsommere end den plejede
Ture Gj�rup writes:
September 29th, 2007 at 21:19
Det lyder selvf�lgelig meget godt, men hvad med PHP 5? Er i t�ttere p� at tilbyde en opgradering her?
Per Sikker Hansen writes:
October 6th, 2007 at 13:08
Kan suhosin frav�lges i kontrolpanelet? Ville jeg mene, gav mest mening, n�r nu safe_mode kan sl�s fra.
Frederik 'Freso' S. Olesen writes:
October 8th, 2007 at 08:26
Per: safe_mode virker ikke – det siger PHP-folkene i hvert fald selv (og det vil ikke være en del af PHP6). Suhosin er en langt sikrere måde at “forstærke” sin PHP-kode på og burde, som nævnt, ikke gå ud over ordentligt skrevet kode. (Men hvis du stadig vil have svar, så tvivler jeg på at det kan slås fra, da Suhosin er en kildeniveauslap til PHP og som dermed ville kræve at der lever to PHP-versioner side om side på systemet for at kunne vælge det fra og til.)
chr writes:
October 11th, 2007 at 13:58
safe_mode er stort set ubrugeligt n�r det g�lder sikkerhed. Man l�ner sig op ad den antagelse, at der ikke er fejl i PHP eller i de ekstra moduler man indl�ser (fx Gd, Imagemagick, osv).
Palle Engkjær writes:
November 25th, 2007 at 13:41
Kan det passe at “suhosin ” er årsag til at TinyMce editoren på min php side ikke virker?

Den virker glimrende på en side der kører på lokal server??

Hilsen Palle
Steen Br�lling writes:
April 8th, 2008 at 06:55
Jeg kan ikke f� min gamle php-kode til at virke p� jeres server. Jeg har ogs� henvendt mig til support, uden at det dog hjalp.

Det drejer sig om at der ikke sker noget som helst, n�r jeg f.eks. laver et link ala http://www.broelling.dk/index.php?id=212, som ellers skal finde indl�g nr. 212, n�r der klikkes p� det.
Min arkiv-side skal kunne s�ge p� hele m�neder, f.eks., og det virker heller ikke overhovedet.

Det der m�ske irriterer mig mest, er at jeg ikke f�r nogen som helst form for fejlmedelelse, hvorfor det er ret sv�rt at gennemskue problemet. Men jeg skriver dog her, fordi jeg har en mistanke til at det er suhosin som g�r forskellen.

Hj�lp anyone!??

MVH Steen
Steen Br�lling writes:
April 8th, 2008 at 18:20
Nu har jeg fundet ud af hvordan jeg g�r. Men det er lidt irriterende:

I stedet for en almindelig variabel som f.eks: $dagligt er jeg n�dt til at anvende f.eks. $_POST['dagligt'], hvilket jeg ikke helt forst�r.

Det troede jeg ikke var n�dvendigt med register_globals aktiveret.

MVH Steen

webmail kontrol center login:

Websites med PHP nu beskyttet af Suhosin

11 kommentarer

Tilføj kommentar