Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
Сообщение от opennews (??), 17-Янв-17, 12:14
Доступно (https://github.com/paragonie/sodium_compat/releases) несколько первых выпусков криптографической библиотеки Sodium Compat (https://github.com/paragonie/sodium_compat), примечательной тем, что она реализована целиком на языке PHP и не требует для своей работы внешних зависимостей. Sodium Compat совместим с libsodium (https://download.libsodium.org/doc/) и может применяться в качестве замены расширения pecl/libsodium (https://pecl.php.net/package/libsodium). Ключевым достоинством Sodium Compat является поддержка работы с устаревшими версиями PHP, что является актуальной проблемой, так как полноценные средства для работы с цифровыми подписями и открытыми ключами появились только в относительно новых выпусках PHP. Например, Sodium Compat может работать с PHP 5.2.4, в то время как для использования  pecl/libsodium требуется ветка PHP 5.4 и дополнительная внешняя зависимость. Полноценные встроенные средства для работы с RSA-ключами появились только в PHP 5.6.0. Подобное ограничение мешает внедрению (https://core.trac.wordpress.org/ticket/25052) в WordPress средств для верификации устанавливаемых дополнений и обновлений по цифровой подписи. Без повышения минимально поддерживаемой версии интерпретатора PHP проверку по цифровой подписи реализовать не получается из-за отсутствия необходимых криптографических функций, а поднять минимальную версию PHP мешают обязательства перед пользователями.  В настоящее время проверка целостности обновления  сводится (http://seclists.org/oss-sec/2016/q4/478) только к сверке хэша MD5 без верификации источника. Для обеспечения оперативной доставки обновлений начиная с WordPress 3.7 добавлена поддержка автоматической установки обновлений с устранением критических уязвимостей, но данная возможность может сыграть злую шутку в текущей ситуации, когда обновления не проверяются по цифровой подписи. Без полноценной системы верификации (https://paragonie.com/blog/2016/10/guide-automatic-security-...)  компрометация  api.wordpress.org и распространение вредоносного обновления через официальные источники  может привести к массовому поражению пользовательских систем с WordPress, которые по некоторым оценкам (https://wptavern.com/wordpress-passes-27-market-share-banks-...) составляют до 27% всех сайтов в глобальной сети. При этом проблема не умозрительна, например, в ноябре 2016 года была выявлена (https://www.wordfence.com/blog/2016/11/hacking-27-web-via-wo.../) уязвимость, позволяющая атакующему выполнить свой код на стороне api.wordpress.org. Без проверки по цифровым подписям для успешной атаки на конфигурации WordPress со включенной функцией автоматической установки обновлений достаточно взломать сервер доставки обновлений. В случае применения цифровых подписей получение контроля над сервером распространения обновлений не приведёт к должному результату, так как для проведения атаки понадобиться получить закрытый ключ, при помощи которого осуществляется подпись обновлений.   Sodium Compat позволит выйти из возникшего тупика и реализовать проверку дополнений по цифровым подписям без повышения требований к программному окружению. Для WordPress уже предложен (https://core.trac.wordpress.org/ticket/39309) прототип системы верификации по цифровым подписям на базе Sodium Compat. Отсутствие системы верификации не специфично для WordPress и также наблюдается в других CMS на PHP, включая Drupal и Joomla. URL: Ghttps://ma.ttias.be/wordpress-get-secure-cryptographic-updates/ Новость: http://www.opennet.me/opennews/art.shtml?num=45868
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	–1 +/–
Сообщение от Аноним (-), 17-Янв-17, 12:14
md5 от содержимого файлов трудно было сделать уже много лет как? Не издевайтесь!
Ответить | Правка | Наверх | Cообщить модератору

	4. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 17-Янв-17, 12:28
	> md5 от содержимого файлов трудно было сделать уже много лет как? Не > издевайтесь! Речь про цифровые подписи, созданные секретным закрытым ключом, которые можно проверить общедоступным открытым ключом. Контрольные суммы нельзя использовать как элемент верификации источника, особенно MD5 с его коллизиями. Ничего не мешает создать контрольную подпись во время атаки или подменить во время MITM, а цифровую подпись без наличия ключа не подделаешь и взлом становится бесполезен.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 17-Янв-17, 13:08
	подогнать MD5 вообще не проблема
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 17-Янв-17, 14:42
	> подогнать MD5 вообще не проблема Подгони 43aa4fe5fa9dc5c4d6664d07d159ce0f
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
	Сообщение от Аноним (-), 17-Янв-17, 16:25
	Подогнал. Выходи давай уже.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	–4 +/–
Сообщение от freehck (ok), 17-Янв-17, 12:21
> криптографической библиотеки ...(которая)... реализована целиком на языке PHP и не требует для своей работы внешних зависимостей Простите, что-что? Реализация криптографических алгоритмов на PHP? Серьёзно?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
	Сообщение от Аноним (-), 17-Янв-17, 12:24
	Именно так https://github.com/paragonie/sodium_compat/tree/master/src/Core скорость работы для решаемых библиотекой целей в не принципиальна.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от freehck (ok), 17-Янв-17, 12:32
	> скорость работы для решаемых библиотекой целей в не принципиальна. Да я собственно не про скорость работы. Почему не сделали обвязочки над уже готовыми сишными библиотеками? Зачем принципиально так "без внешних зависимостей"? Это же долго, сложно, и некачественно.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+9 +/–
	Сообщение от Аноним (-), 17-Янв-17, 12:46
	Патамушта разрабы водрпресса не хотят удлиннять список зависимостей. В настоящий момент вордпресс можно развернуть практически на любом веб-хостинге, где есть ТОЛЬКО php и mysql. Видать, не осилили реализовать криптографическую библиотеку на sql -- пришлось писать на php...
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
	Сообщение от Аноним (8), 17-Янв-17, 12:46
	это же php, какие биндинги, переписать весь мир на php!
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	12. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 17-Янв-17, 13:13
	>> скорость работы для решаемых библиотекой целей в не принципиальна. > Да я собственно не про скорость работы. Почему не сделали обвязочки над > уже готовыми сишными библиотеками? Зачем принципиально так "без внешних зависимостей"? > Это же долго, сложно, и некачественно. тут дело такое, если у вашего "хостинга" дырявые библиотеки, а WP крутится на на огромном заоопарке хостингов, то вы не сможете их заменить. так-же на некоторых хостингах они могут быть просто недоступны, или доступны "не те" или "не те версии" и т.д., в такой ситуации гораздо проще реализовать на php, особенно с учётом того, что большинство требований предъявляемых реализации в системных библиотеках теряют смысл. ( не нужно думать о защите памяти, равном времени выполнения и т.п. вещах )
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	13. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
	Сообщение от fi (ok), 17-Янв-17, 14:05
	>Почему не сделали обвязочки над уже готовыми сишными библиотеками? Вот собственно и ответ: > для использования pecl/libsodium требуется ветка PHP 5.4 и дополнительная внешняя зависимость такая есть, но не подходит
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	6. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	–1 +/–
	Сообщение от Аноним (-), 17-Янв-17, 12:38
	>Реализация криптографических алгоритмов на PHP? Скоро и на Java, и на VBA! :)
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	10. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от h31 (ok), 17-Янв-17, 13:09
	> Скоро и на Java Уже. man BouncyCastle man JCE
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Ydro (?), 17-Янв-17, 13:11
	Что плохого если код подписан? Неважно код какого языка будет подписан.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	18. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	–1 +/–
	Сообщение от Аноним (-), 17-Янв-17, 22:51
	Речь про реализацию криптографических библиотек на неподходяцих для этого языках. А так да, любой код можно подписать.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 20-Янв-17, 08:26
	няша, на java целая анонимная, децентрализованная, отказоустойчивая сеть со сквозным шифрованием написана.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

16. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
Сообщение от Аноним (-), 17-Янв-17, 19:40
А почему gpg нельзя вызвать для проверки подписи?
Ответить | Правка | Наверх | Cообщить модератору

	17. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Crazy Alex (ok), 17-Янв-17, 21:06
	Потому что его может не быть
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Аноним (-), 17-Янв-17, 23:49
	Пусть поставят.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+1 +/–
	Сообщение от Аноним (-), 18-Янв-17, 13:32
	Для разворачивателей сайтов на вордпрессе это слишком сложно.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
Сообщение от Аноним (-), 18-Янв-17, 13:32
> достоинством Sodium Compat является поддержка работы с устаревшими версиями PHP, что является актуальной проблемой Мда... И это вместо того, чтобы пнуть юное дарование, рулящее сайтом, в сторону обновления.
Ответить | Правка | Наверх | Cообщить модератору

	23. "Библиотека Sodium Compat поможет реализовать верификацию обн..."	+/–
	Сообщение от Онаним (?), 26-Янв-17, 08:47
	Вот и я думаю: а почему бы им ни написать библиотеку BAT-файлов, чтобы я мог вебсервер с HTTP 2 под DOS на своём стареньком 486-м поднять...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема