Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHP e Segurança: é possível

Diana Arnos
April 05, 2019
Programming
7
570

PHP e Segurança: é possível

Apresentado no PHP Experience 2019

Por muito tempo, qualquer aplicação em PHP era automaticamente considerada insegura por muita gente.
Dificilmente um desenvolvedor pensava em termos de segurança e aplicações web eram porcamente construídas e se apresentavam cheias de brechas.
Hoje, as versões mais recentes do PHP disponibilizam ferramentas de segurança e criptografia moderna, além de iniciativas internas focadas em segurança terem sido retomadas. Mas, infelizmente, o PHP não resolve tudo sozinho, é necessário que os desenvolvedores tenham um mínimo de preocupação e conhecimento sobre desenvolvimento seguro.
Vamos conhecer as mais recentes iniciativas da linguagem a esse respeito e também alguns dos problemas mais comuns de design de código para sabermos o que evitar durante a fase de design e implementação.

Diana Arnos

April 05, 2019
Tweet

More Decks by Diana Arnos

See All by Diana Arnos
PHP Além do Síncrono
dianaarnos
1
500
O Mundo Mágico dos Profilers
dianaarnos
0
130
Trabalhar na gringa - Como chegar lá?
dianaarnos
0
300
PCS2020 - PHP Além do Síncrono
dianaarnos
2
980
VDPWeekend - Emprego dos Sonhos - O que esperam de você e como ser cada vez melhor
dianaarnos
1
160
PHPPR Live 2020 - PHP Paralelo e Distribuído
dianaarnos
0
120
Profiling 101: o que é e como fazer - PHPConference 2019
dianaarnos
1
380
PHP e Segurança: é possível - PHPConference BR 2019
dianaarnos
0
530
PHP, Symfony and Security
dianaarnos
0
720

Other Decks in Programming

See All in Programming
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
500
Sidekiqで実現する 長時間非同期処理の中断と再開 / Pausing and Resuming Long-Running Asynchronous Jobs with Sidekiq
hypermkt
6
3k
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.1k
AWS IaCの注目アップデート 2024年10月版
konokenj
3
3.2k
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
240
破壊せよ!データ破壊駆動で考えるドメインモデリング / data-destroy-driven
minodriven
17
4.3k
リアーキテクチャxDDD 1年間の取り組みと進化
hsawaji
1
180
Jakarta Concurrencyによる並行処理プログラミングの始め方 (JJUG CCC 2024 Fall)
tnagao7
1
270
【Kaigi on Rails 2024】YOUTRUST スポンサーLT
krpk1900
1
300
シェーダーで魅せるMapLibreの動的ラスタータイル
satoshi7190
1
440
A Journey of Contribution and Collaboration in Open Source
ivargrimstad
0
410
Outline View in SwiftUI
1024jp
1
280

Featured

See All Featured
Faster Mobile Websites
deanohume
305
30k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9k
What's in a price? How to price your products and services
michaelherold
243
12k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Making Projects Easy
brettharned
115
5.9k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Navigating Team Friction
lara
183
14k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
The Cult of Friendly URLs
andyhume
78
6k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k

Transcript

  1. PHP E SEGURANÇA SIM, É POSSÍVEL

  2. @dianaarnos Dev, Sec, Music, Kung Fu. Dev / Architect @

    Senha Segura Evangelist @ PHPSP Evangelist @ PHPWomenBR

  3. PHP É A LINGUAGEM MAIS USADA NA WEB

  4. None

  5. VEJAMOS:

  6. fonte: https://w3techs.com

  7. fonte: https://w3techs.com

  8. fonte: https://w3techs.com

  9. fonte: https://w3techs.com

  10. fonte: https://w3techs.com

  11. None

  12. É POPULAR

  13. MAS MUITO CRITICADO

  14. A LINGUAGEM É JULGADA INEFICIENTE E INSEGURA

  15. POR DESENVOLVEDORES E EMPRESAS

  16. None
  17. None
  18. None
  19. None
  20. None

  21. NÓS SABEMOS O PORQUÊ

  22. BAIXA CURVA DE APRENDIZADO

  23. BAIXA CURVA DE APRENDIZADO +

  24. BAIXA CURVA DE APRENDIZADO + FACILIDADE DE LIDAR COM REQUESTS

    =

  25. BAIXA CURVA DE APRENDIZADO + FACILIDADE DE LIDAR COM REQUESTS

    = SOBRINHOS
  26. None

  27. CÓDIGO LEGADO

  28. A CULPA É DO PASSADO

  29. SERÁ?

  30. fonte: https://w3techs.com

  31. PHP 3 E 4?

  32. None

  33. fonte: https://w3techs.com

  34. 70% DOS 80% É PHP 5

  35. fonte: https://w3techs.com

  36. VAMOS LÁ NO PHP.NET

  37. fonte: https://php.net PHP VERSIONS LIFECYCLE

  38. NENHUMA VERSÃO DO PHP 5 TEM SUPORTE

  39. PHP 7: UMA NOVA ESPERANÇA

  40. fonte: https://w3techs.com

  41. OPA...

  42. fonte: https://php.net

  43. 36,5% DO PHP 7 NÃO TEM MAIS SUPORTE

  44. VAMOS FAZER AS CONTAS?

  45. 80% DA WEB É PHP

  46. 70% DOS 80% É 5.X E NÃO TEM MAIS SUPORTE

  47. O QUE NOS DEIXA COM 30% DOS 80% DA WEB

    SENDO 7.X

  48. PORTANTO 24% DA WEB É PHP 7.X

  49. DESSES 24%, 36,5% SÃO PHP 7.0 E NÃO TEM MAIS

    SUPORTE

  50. LOGO, TEMOS 63,5% DOS 24% DA WEB COM VERSÕES VÁLIDAS

  51. ENTÃO...

  52. EM 2019

  53. 2019

  54. APESAR DE 80% DA WEB SER PHP….

  55. SÓ 15,24% DA WEB TEM VERSÕES SEGURAS E ATUALIZADAS DE

    PHP
  56. None

  57. E DAÍ?

  58. fonte: https://www.cvedetails.com

  59. fonte: https://www.cvedetails.com

  60. fonte: https://www.cvedetails.com

  61. fonte: https://www.cvedetails.com

  62. fonte: https://www.cvedetails.com

  63. QUEM ESCOLHE MANTER AS VERSÕES INSEGURAS NO AR?

  64. JÁ TAVA ASSIM

  65. JÁ TAVA ASSIM DÁ TRABALHO ATUALIZAR

  66. JÁ TAVA ASSIM DÁ TRABALHO ATUALIZAR É CULPA DO FRAMEWORK

  67. JÁ TAVA ASSIM DÁ TRABALHO ATUALIZAR É CULPA DO FRAMEWORK

    NÃO É O FOCO DO TIME AGORA

  68. JÁ TAVA ASSIM DÁ TRABALHO ATUALIZAR É CULPA DO FRAMEWORK

    O DEV QUE FEZ NÃO TRABALHA MAIS AQUI NÃO É O FOCO DO TIME AGORA
  69. None

  70. ESTAMOS SEMPRE BUSCANDO QUEBRAR O PRECONCEITO

  71. QUEREMOS ESPALHAR AS BOAS PRÁTICAS

  72. “PARTE DA ZEND ENGINE FOI REESCRITA”

  73. “PERFORMANCE MUITO APRIMORADA”

  74. fonte: http://www.zend.com/en/resources/php7_infographic

  75. fonte: http://www.zend.com/en/resources/php7_infographic

  76. fonte: http://www.zend.com/en/resources/php7_infographic

  77. None

  78. E A SEGURANÇA?

  79. A LINGUAGEM EVOLUI...

  80. PHP 7.0:

  81. - FILTERED UNSERIALIZE() PHP 7.0:

  82. - FILTERED UNSERIALIZE() PHP 7.0: - CSPRNG FUNCTIONS:

  83. - FILTERED UNSERIALIZE() PHP 7.0: - RANDOM_BYTES() E RANDOM_INT() -

    CSPRNG FUNCTIONS:

  84. PHP 7.1:

  85. PHP 7.1:

  86. PHP 7.2:

  87. - PASSWORD_ARGON2I PHP 7.2:

  88. - PASSWORD_ARGON2I PHP 7.2: - LIBSODIUM NATIVA (CORE EXTENSION)

  89. - PASSWORD_ARGON2I PHP 7.2: - LIBSODIUM NATIVA (CORE EXTENSION) -

    MCRYPT REMOVIDA DO CORE

  90. PHP 7.3:

  91. - MELHORIAS NA IMPLEMENTAÇÃO DE ARGON2: PHP 7.3:

  92. - MELHORIAS NA IMPLEMENTAÇÃO DE ARGON2: PHP 7.3: - ARGON2I,

    ARGON2D, ARGON2ID

  93. ONE MORE THING...

  94. PSRs DE SEGURANÇA

  95. fonte: https://www.php-fig.org/

  96. MAS...

  97. fonte: https://groups.google.com/forum/#!forum/php-fig

  98. “This thread is an appeal for people who wish to

    join the working group so we can get the ball rolling with a (re)-entrance vote.”

  99. PSR-9

  100. - PADRÃO PARA PESQUISADORES REPORTAREM VULNERABILIDADES PARA UM PROJETO PSR-9

  101. PSR-10

  102. - PADRÃO PARA UM PROJETO DIVULGAR PUBLICAMENTE SUAS FALHAS DE

    SEGURANÇA E MEDIDAS CORRETIVAS PSR-10

  103. ESSES SÃO OS ESFORÇOS DA LINGUAGEM

  104. E OS SEUS?

  105. ALGUMAS BOAS PRÁTICAS

  106. ATUALIZAR O PHP REGULARMENTE

  107. ATUALIZAR PACKAGES REGULARMENTE

  108. HTTPS SEMPRE

  109. NUNCA EXIBIR ERROS E WARNINGS

  110. FILTRAR E VALIDAR TODO TIPO DE DADO

  111. USE QUERIES PARAMETRIZADAS (PREPARED STATEMENTS)

  112. DEFINIR OPEN_BASEDIR NO PHP.INI

  113. CUIDADO AO LIDAR COM SESSÕES DE USUÁRIO

  114. CSRF TOKENS EM FORMULÁRIOS

  115. LINKS DE REFERÊNCIA http://bit.ly/phpx-links

  116. ACESSO AOS SLIDES http://bit.ly/phpx-seguranca

  117. OBRIGADA! AVALIE NO JOIND.IN https://joind.in/talk/71f42