Drucksache: PHP Magazin 6.16 - PHP Security Libraries im Überblick
Im PHP Magazin 6.2016 ist ein Überblick über PHP Security Libraries erschienen.
Auf entwickler.de gibt es eine Leseprobe des Artikels.
Es gibt für alles mögliche Libraries und Frameworks. Angefangen bei umfangreichen Paketen für komplette Webanwendungen bis zu ganz speziellen Lösungen für spezifische Probleme. Auch für den Bereich Sicherheit. Und die gucken wir uns jetzt mal an.
Die Auswahl der Libraries erfolgte weitgehend willkürlich und ist bei weitem nicht vollständig. so fehlen zum Beispiel sämtliche Bibliotheken für OpenID und OAuth, Dafür ist mit HybridAuth eine Library vertreten, über die sich mehr oder weniger sämtliche Social Networks und Identity Provider nutzen lassen. Und mit Sentinel ist eine Library dabei, die nicht nur die Authentifizierung, sondern auch die Autorisierung unterstützt.
Mit HTML Purifier ist die Standardlösung für das Filtern von HTML-Eingaben vertreten, die leider immer noch kein HTML5 unterstützt. Die weniger bekannte Alternative htmLawed kann das zwar auch noch nicht, eine HTML5-fähige Version ist aber zumindest in der Entwicklung und soll noch 2016 erscheinen.
Die PHP Secure Communications Library (phpseclib) ist die Eierlegende Wollmilchsau unter den Krypto-Libraries, während das sehr spezialisierte URLcrypt ein Beispiel für eine mitunter nützliche, aber augenscheinlich nicht mehr weiterentwickelte Lösung ist.
Und auch die restlichen Libraries sind nicht unbedingt zu verachten. Falls Sie während der Entwicklung mal ein sicherheitsrelevantes Problem haben, dürfte es sich oft lohnen, nach einer passenden Library zu suchen statt das virtuelle Rad neu zu implementieren.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] OWASP PHP Security Project
OWASP/phpsec auf GitHub - [2] aarondfrancis/URLcrypt auf GitHub
- [3] Aaron Francis: "Encrypting and Encoding Information in URLs with PHP"
- [4] HTML Purifier
- [5] HTML Purifier Forums - General: "The HTML5 element <vedio> is filtered out when I using htmlpurifer"
- [6] htmLawed
- [7] htmLawed 1.2.beta
- [8] PHPIDS/PHPIDS auf GitHub
- [9] enygma/expose auf GitHub
- [10] enygma/expose: Issues auf GitHub
- [11] panique/huge auf GitHub
- [12] HybridAuth
HybridAuth auf GitHub - [13] ircmaxell/PHP-PasswordLib auf GitHub
- [14] Carsten Eilers: "Passwörter speichern, aber richtig!"; PHP Magazin 6.2013
- [15] Carsten Eilers: "PHP-Sicherheit von PHP 4.x bis PHP 5.5"; PHP Magazin 5.2013 (Online)
- [16] PHP: Password Hashing - Manual
- [17] cartalyst/sentinel auf GitHub
- [18] jedisct1/libsodium-php auf GitHub
PECL :: Package :: libsodium - [19] jedisct1/libsodium auf GitHub
- [20] paragonie/halite auf GitHub
- [21] defuse/php-encryption auf GitHub
- [22] phpseclib: pure PHP implementations of SSH, SFTP, RSA and X.509
phpseclib auf Sourceforge
phpseclib/phpseclib auf GitHub - [23] paragonie/EasyRSA auf GitHub
- [24] Carsten Eilers: "Verfahren der Kryptographie, Teil 11: Hybride Verschlüsselungsverfahren"
- [25] timoh6/TCrypto auf GitHub
- [26] Timo; websec.io: "TCrypto: Encrypted data storage for PHP applications"
- [27] Thomas Fuchs; mir.aculo.us JavaScript with Thomas Fuchs: "Embedding Canvas and SVG charts in emails"
Trackbacks