#php #backend #md5 #sha1 #security
Прекратите использовать MD5 и SHA-1!
MD5 подобен таракану — он живуч и вылезает отовсюду, но ясно одно: необходимо прекратить его использование (и SHA-1 тоже)!
Недавно в социальных сетях прошло несколько интересных обсуждений, вызванных предлагаемым устареванием функций
Устаревание этих методов не помешало бы вам использовать MD5 и SHA-1 в своём коде, речь идёт только о конкретных вспомогательных псевдонимах. В PHP есть методы
К сожалению, похоже, что голосование провалится, и они не будут объявлены устаревшими.
📄 Читать статью
@dev_notes_ru
Прекратите использовать MD5 и SHA-1!
MD5 подобен таракану — он живуч и вылезает отовсюду, но ясно одно: необходимо прекратить его использование (и SHA-1 тоже)!
Недавно в социальных сетях прошло несколько интересных обсуждений, вызванных предлагаемым устареванием функций
md5(), sha1(), md5_file() и sha1_file().Устаревание этих методов не помешало бы вам использовать MD5 и SHA-1 в своём коде, речь идёт только о конкретных вспомогательных псевдонимах. В PHP есть методы
hash($algo, $value) и hash_file($algo, $filename), предоставляющие доступ ко всем поддерживаемым алгоритмам хеширования. Фактически, это единственный способ использовать безопасные алгоритмы хеширования, поэтому MD5 и SHA-1 по-прежнему используются так часто!К сожалению, похоже, что голосование провалится, и они не будут объявлены устаревшими.
📄 Читать статью
@dev_notes_ru
🔥4
#backend #security #headers
👩💻 Руководство по User Agent
User Agent — это текстовая строка, отправляемая веб-браузером или другим клиентом на веб-сервер вместе с каждым HTTP-запросом. Эта строка содержит информацию об операционной системе клиента, типе браузера, механизме рендеринга, а иногда и другие сведения, например модель устройства или версию используемого программного обеспечения. Строка User Agent позволяет серверу идентифицировать клиента и соответствующим образом адаптировать ответы.
Термин User Agent также может относиться к программному обеспечению, выполняющему запрос, например веб-браузеру, мобильному приложению или боту. Однако в статье мы сосредоточимся на строке User Agent применительно к HTTP-запросам.
🖥 Читать статью
📱 @dev_notes_ru
User Agent — это текстовая строка, отправляемая веб-браузером или другим клиентом на веб-сервер вместе с каждым HTTP-запросом. Эта строка содержит информацию об операционной системе клиента, типе браузера, механизме рендеринга, а иногда и другие сведения, например модель устройства или версию используемого программного обеспечения. Строка User Agent позволяет серверу идентифицировать клиента и соответствующим образом адаптировать ответы.
Термин User Agent также может относиться к программному обеспечению, выполняющему запрос, например веб-браузеру, мобильному приложению или боту. Однако в статье мы сосредоточимся на строке User Agent применительно к HTTP-запросам.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1
Основная защита от SQL инъекций (SQLi) — это параметризация пользовательского ввода, позволяющая безопасно внедрять его в SQL запросы. Это стандартная практика, о которой постоянно говорится, и в Laravel это сделать довольно просто. На самом деле, я редко встречаю уязвимости SQLi в приложениях Laravel, потому что Eloquent достаточно мощный.
По моему опыту, чем сложнее запрос и чем больше сырого SQL нужно написать, тем выше вероятность появления SQL инъекции.
#laravel #security #sqli
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
ColorColumn и ColorEntryНедавно Filament выпустил версию 3.2.115, устраняющую критическую проблему безопасности, связанную с межсайтовым скриптингом (XSS). Эта уязвимость затрагивала компоненты
ColorColumn и ColorEntry. Далее рассмотрим детали уязвимости, выпущенное исправление и способы защиты приложений.Обзор XSS-уязвимости
Уязвимость позволяла потенциальным злоумышленникам использовать XSS в компонентах
ColorColumn и ColorEntry. Это могло привести к выполнению вредоносных скриптов внутри приложения, что нарушало целостность пользовательских данных и приложения.Исправление системы безопасности
В ответ на эту проблему команда Filament выпустила исправление в версии 3.2.115. Это обновление призвано обеспечить безопасность приложений, закрыв точки входа для XSS-атак в затронутых компонентах.
Выпуск CVE и Dependabot
Чтобы помочь разработчикам обеспечить безопасность своих приложений, для уязвимости был выпущен CVE (Common Vulnerabilities and Exposures). Это активирует Dependabot, он оповестит затронутые репозитории о проблеме и порекомендует обновиться до исправленной версии.
Подробности эксплойта и рекомендации по безопасности
Команда Filament отложила публикацию полной информации об эксплуатации, чтобы дать разработчикам время обновить свои приложения. В ближайшие недели будет выпущен подробный совет по безопасности, в котором будет описано, как можно было использовать уязвимость.
#Laravel #Filament #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥1
Symfony 7.2 представляет значительное усовершенствование функций безопасности: Stateless CSRF (Cross-Site Request Forgery) защита. Новая функция использующая комбинацию куки и HTTP заголовков для проверки непостоянных токенов.
Основное преимущество этой функции перед традиционными методами CSRF заключается в том, что токены проверяются независимо от сессий на стороне сервера. Это делает её подходящей для приложений, использующих HTTP-кэширование. Кроме того, отсутствие зависимости от сеансов гарантирует, что пользователи не потеряют свои данные, если потратят определённое время на отправку формы. Например, если во время заполнения формы сессия пользователя будет уничтожена, функция "Запомнить меня" подключит его заново, и отправка формы будет принята.
#Symfony #CSRF #Security
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1
npx is-my-node-vulnerable`Пакет
is-my-node-vulnerable сравнивает вашу версию Node.js с базой данных безопасности Node.js, мгновенно предоставляя информацию о потенциальных рисках безопасности.#NodeJS #Security
Please open Telegram to view this post
VIEW IN TELEGRAM