Suhosin - PHP Engine Protection sinnvoll ?

dreamcatcher · 24.05.2011, 00:51

Als ich mir heute alternativ auf Debian 6 PHP per apt-get zog, bemerkte ich dass nicht nur das normale PHP 5.3.3 geladen wurde sondern ebenfalls Suhosin integriert ist.

Nun, da das Debian Team sich Gedanken macht zur Stabilität und Sicherheit des Systems kann es kein 0815 Patch sein.

Im Board hier finde ich jedoch nur Problemthreads wie z.B. "include() funktioniert nicht ohne Whitelist".

Daher würde mich interessieren wie ihr den Sinn/Unsinn eines solchen Patches einschätzt und ob ihr es vllt. sogar auf Produktivsystemen integriert habt.

Hattet ihr vllt. schon einmal Nachteile in der Performance eurer Seite bemerkt ?
Was hat euch, sofern ihr es kennt, dazu bewogen es einzusezten / es nicht einzusetzen ?

Featurelist sieht vielversprechend aus:
http://www.hardened-php.net/suhosin/a_feature_list.html

Flor1an · 24.05.2011, 01:00

Ich hatte bis jetzt keine Probleme damit. Du musst dir halt bewusst sein das dein Skript eben keine deaktivierten Funktionen nutzen darf. Die meisten davon sollte man aber in einem sauberen System sowieso nicht verwenden. Ansonsten merkst du ja oftmals gar nichts von den Veränderungen die Suhosin einführt.

dreamcatcher · 24.05.2011, 02:41

Per google fand ich außerdem folgenden Thread:
http://www.php.de/off-topic-diskussi...n-ja-nein.html (suhosin ja/nein?)

Das komische ist, dass dieser Thread per internen Boardsuche "suhosin" NICHT auftaucht.

Zusammengefasst wird dort davon ausgegangen, dass (allgemein) keine Notwendigkeit besteht (sofern man nicht gerade ein Hoster ist).

@Flo
Nutzt du es durchgängig auf Produktivsystemen auf denen du Entscheidungsgewalt hast ?

Zur Performance gibts:
http://www.hardened-php.net/suhosin/benchmark.html

wo von ca. 8 % Performanceverlust ausgegangen wird.

mquadrat · 25.05.2011, 17:34

Also bei uns ist das auf allen Servern drauf. Ich hatte bislang keinerlei Probleme mit irgendwelchen Einschränkungen. Musste eben sogar erst mal nachschauen ob es überhaupt drauf ist.

marcusson · 25.05.2011, 21:18

Die letzte Info die ich hatte war, dass sich um Suhosin keiner mehr kümmert. AFAIK waren das ursprünglich 3 junge deutsche Entwickler.
Durch den eingängigen Namen "Hardened PHP" und einen Artikel auf Heise habe ich auch erst gedacht, das wäre eine offizielle Sache. Das war aber wohl nicht der Fall.

Diese 3 jungen Leute scheinen sich inzwischen anderen Dingen gewidmet zu haben. Letzter News-Eintrag von 2007.

Einige (vielleicht alle?) Features scheinen obsolete zu sein: Abschalten von PHP-Funktionen, Erkennung von Endlosrekursion, Abschalten von Register-Globals ... ist inzwischen in PHP selbst drin und teilweise über php.ini steuerbar. Auch die Probleme mit Null-terminated String-Literals sind AFAIK längst gepatcht.

Es gibt auch Kritik: Einige Leute hören nur "Sicherheit", installieren es und denken damit wäre alles in Ordnung: schließlich haben sie PHP "sicher" gemacht und es könne ja nichts mehr passieren.
Aus dem gleichen Grund hat die PHP-Crew für PHP 6 angekündigt den "safe-mode" abzuschaffen. Weil er Admins eine Art "Sicherheit" suggeriert hat, die objektiv nicht gegeben ist. Eine SQL-Injection bleibt eine SQL-Injection: ob mit Safe-Mode/Suhosin/HardenedPHP oder ohne.

Chriz · 25.05.2011, 21:32

Also Probleme gabs mit POST-Wertkuerzung auf bestimmte Bytezahl, POST-Keyanzahl-Limitierung und Sessionverschluesselung anhand UserAgent (schlecht fuer SWFUpload, wo der UserAgent nunmal Flash ist und nicht mehr der Browser).

Die Fehlersuche hat insgesamt sehr viel Zeit gekostet, Loesung war nur eine kleine Aenderung in der Config.

Ueber Vorteile kann ich nichts sagen, wirkt fuer mich aber eher nach Pseudosicherheit. Irgendwelche Werte beschraenken, die sich jemand in der Theorie ausgedacht hat laeuft halt gegen die Wand wenns mal ne Ausnahme gibt. Und erinner dich dann mal so einen Sicherheitspatch namens Suhosin, der irgendwo in der PHP-Engine klemmt und lautlos sein Werk verrichtet ...

nedelin · 26.05.2011, 09:11

Unter suspekt.org gibt's eine Meldung zu Suhosin vom März 2010: Suhosin-Patch 0.9.9.1.

Es sind schon einige Projekte dieser Art gekommen und auch wieder von uns gegangen; die Versuchung bzw. Motivation, Wissen um die Sicherheit von PHP-Anwendungen in einem Modul zu konzentrieren, ist offensichtlich sehr stark.

Das "Besondere" an Suhosin ist m.E. die Konzipierung als PHP-Extension (nicht als PHP-Skript) und der Fakt, dass das Ganze von Leuten wie Stefan Esser kommt, denen man eine gewisse Expertise zutraut.

Dennoch: ich persönlich möchte nicht damit arbeiten. Ich vertraue auf einen guten Hoster, die stetige Verbesserung von PHP und last not least meine eigenen Erfahrungen.

dr. ?

lcrash · 26.05.2011, 16:46

Irgendwie schiebt suhosin die Dinge in die falsche Richtung. Einmal Applikations-Sicherheit und QA in Richtung Webserver und einmal Server-Sicherheit in Richtung Webserver.

Und neulich habe ich erlebt, dass ich wegen einer Magento-Installation den Hoster Anmailen musste (zu große POST-Requests) und dieser eine _globale_ Ausnahme dafür konfigurieren musste.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Browser MMORPG Engine miniNEAB zu Verkaufen	djxitec	Scriptbörse	1	06.06.2010 13:38
Scriptangebot Serpent Template Engine	McSodbrenner	Scriptbörse	3	26.03.2010 21:37
performante Verknüpfung von Tabellen??	Gimpel	Datenbanken	13	27.02.2010 14:57
Klassen sinnvoll nutzen, Grundlegendes	nikosch	PHP-Fortgeschrittene	1	30.09.2006 22:08
Einsatz von Java-Script in PHP sinnvoll	rudolfs	PHP Tipps 2006	1	22.01.2006 14:56
PHP - Profil - Datei auf Useranfrage schreiben - sinnvoll ?	Asipak	PHP Tipps 2005-2	2	29.10.2005 22:50

24.05.2011, 00:51
dreamcatcher Erfahrener Benutzer Registriert seit: 28.12.2010 Beiträge: 602 PHP-Kenntnisse: Anfänger	Suhosin - PHP Engine Protection sinnvoll ? Als ich mir heute alternativ auf Debian 6 PHP per apt-get zog, bemerkte ich dass nicht nur das normale PHP 5.3.3 geladen wurde sondern ebenfalls Suhosin integriert ist. Nun, da das Debian Team sich Gedanken macht zur Stabilität und Sicherheit des Systems kann es kein 0815 Patch sein. Im Board hier finde ich jedoch nur Problemthreads wie z.B. "include() funktioniert nicht ohne Whitelist". Daher würde mich interessieren wie ihr den Sinn/Unsinn eines solchen Patches einschätzt und ob ihr es vllt. sogar auf Produktivsystemen integriert habt. Hattet ihr vllt. schon einmal Nachteile in der Performance eurer Seite bemerkt ? Was hat euch, sofern ihr es kennt, dazu bewogen es einzusezten / es nicht einzusetzen ? Featurelist sieht vielversprechend aus: http://www.hardened-php.net/suhosin/a_feature_list.html Geändert von dreamcatcher (24.05.2011 um 00:56 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.05.2011, 01:00
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ich hatte bis jetzt keine Probleme damit. Du musst dir halt bewusst sein das dein Skript eben keine deaktivierten Funktionen nutzen darf. Die meisten davon sollte man aber in einem sauberen System sowieso nicht verwenden. Ansonsten merkst du ja oftmals gar nichts von den Veränderungen die Suhosin einführt.

24.05.2011, 02:41
dreamcatcher Erfahrener Benutzer Registriert seit: 28.12.2010 Beiträge: 602 PHP-Kenntnisse: Anfänger	Per google fand ich außerdem folgenden Thread: http://www.php.de/off-topic-diskussi...n-ja-nein.html (suhosin ja/nein?) Das komische ist, dass dieser Thread per internen Boardsuche "suhosin" NICHT auftaucht. Zusammengefasst wird dort davon ausgegangen, dass (allgemein) keine Notwendigkeit besteht (sofern man nicht gerade ein Hoster ist). @Flo Nutzt du es durchgängig auf Produktivsystemen auf denen du Entscheidungsgewalt hast ? Zur Performance gibts: http://www.hardened-php.net/suhosin/benchmark.html wo von ca. 8 % Performanceverlust ausgegangen wird. Geändert von dreamcatcher (24.05.2011 um 02:50 Uhr).

25.05.2011, 17:34
mquadrat Erfahrener Benutzer Registriert seit: 02.09.2009 Beiträge: 1.019 PHP-Kenntnisse: Fortgeschritten	Also bei uns ist das auf allen Servern drauf. Ich hatte bislang keinerlei Probleme mit irgendwelchen Einschränkungen. Musste eben sogar erst mal nachschauen ob es überhaupt drauf ist. __________________ Wir suchen PHP Entwickler (Vollzeit) im Raum Darmstadt / Rhein-Main. Infos via E-Mail mueller@new-frontiers.de

25.05.2011, 21:18
marcusson Erfahrener Benutzer Registriert seit: 17.02.2006 Beiträge: 132 PHP-Kenntnisse: Fortgeschritten	Die letzte Info die ich hatte war, dass sich um Suhosin keiner mehr kümmert. AFAIK waren das ursprünglich 3 junge deutsche Entwickler. Durch den eingängigen Namen "Hardened PHP" und einen Artikel auf Heise habe ich auch erst gedacht, das wäre eine offizielle Sache. Das war aber wohl nicht der Fall. Diese 3 jungen Leute scheinen sich inzwischen anderen Dingen gewidmet zu haben. Letzter News-Eintrag von 2007. Einige (vielleicht alle?) Features scheinen obsolete zu sein: Abschalten von PHP-Funktionen, Erkennung von Endlosrekursion, Abschalten von Register-Globals ... ist inzwischen in PHP selbst drin und teilweise über php.ini steuerbar. Auch die Probleme mit Null-terminated String-Literals sind AFAIK längst gepatcht. Es gibt auch Kritik: Einige Leute hören nur "Sicherheit", installieren es und denken damit wäre alles in Ordnung: schließlich haben sie PHP "sicher" gemacht und es könne ja nichts mehr passieren. Aus dem gleichen Grund hat die PHP-Crew für PHP 6 angekündigt den "safe-mode" abzuschaffen. Weil er Admins eine Art "Sicherheit" suggeriert hat, die objektiv nicht gegeben ist. Eine SQL-Injection bleibt eine SQL-Injection: ob mit Safe-Mode/Suhosin/HardenedPHP oder ohne.

25.05.2011, 21:32
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.267	Also Probleme gabs mit POST-Wertkuerzung auf bestimmte Bytezahl, POST-Keyanzahl-Limitierung und Sessionverschluesselung anhand UserAgent (schlecht fuer SWFUpload, wo der UserAgent nunmal Flash ist und nicht mehr der Browser). Die Fehlersuche hat insgesamt sehr viel Zeit gekostet, Loesung war nur eine kleine Aenderung in der Config. Ueber Vorteile kann ich nichts sagen, wirkt fuer mich aber eher nach Pseudosicherheit. Irgendwelche Werte beschraenken, die sich jemand in der Theorie ausgedacht hat laeuft halt gegen die Wand wenns mal ne Ausnahme gibt. Und erinner dich dann mal so einen Sicherheitspatch namens Suhosin, der irgendwo in der PHP-Engine klemmt und lautlos sein Werk verrichtet ... __________________ "Nuschel ich?" - "Was?"

26.05.2011, 09:11
nedelin Benutzer Registriert seit: 06.05.2011 Beiträge: 98 PHP-Kenntnisse: Fortgeschritten	Unter suspekt.org gibt's eine Meldung zu Suhosin vom März 2010: Suhosin-Patch 0.9.9.1. Es sind schon einige Projekte dieser Art gekommen und auch wieder von uns gegangen; die Versuchung bzw. Motivation, Wissen um die Sicherheit von PHP-Anwendungen in einem Modul zu konzentrieren, ist offensichtlich sehr stark. Das "Besondere" an Suhosin ist m.E. die Konzipierung als PHP-Extension (nicht als PHP-Skript) und der Fakt, dass das Ganze von Leuten wie Stefan Esser kommt, denen man eine gewisse Expertise zutraut. Dennoch: ich persönlich möchte nicht damit arbeiten. Ich vertraue auf einen guten Hoster, die stetige Verbesserung von PHP und last not least meine eigenen Erfahrungen. dr. ?

26.05.2011, 16:46
lcrash Erfahrener Benutzer Registriert seit: 11.04.2011 Beiträge: 260 PHP-Kenntnisse: Fortgeschritten	Irgendwie schiebt suhosin die Dinge in die falsche Richtung. Einmal Applikations-Sicherheit und QA in Richtung Webserver und einmal Server-Sicherheit in Richtung Webserver. Und neulich habe ich erlebt, dass ich wegen einer Magento-Installation den Hoster Anmailen musste (zu große POST-Requests) und dieser eine _globale_ Ausnahme dafür konfigurieren musste.