Desenvolvimento - PHP

Escondendo o PHP

A Segurança de um servidor passa por vários níveis de atividades, como versões bem atualizadas e instaladas configurações corretas e permissões de usuários bem identificadas...

por Leo Genilhu


A Segurança de um servidor passa por vários níveis de atividades, como versões bem atualizadas e instaladas configurações corretas e permissões de usuários bem identificadas. Bom poderíamos citar varias técnicas de segurança nesta área.

Mais existe também o nível de segurança chamado “obscuridão” apesar de ser um nível fraco de segurança, (não deve ser a única política de segurança) , dificulta ou atrasa em muito um ataque em seu servidor.


Este tipo de segurança em muito usando em protocolos de redes e em serviços ou seja um servidor esconde as portas os serviços que estão sendo executados para que seu provável invasor não saiba. Vamos ver como fazer isto num servidor web.


. Setando expose_php = off em seu arquivo php.ini, você reduz a quantidade de informação disponível para ele. Através da função phpinfo(); Assim você não disponibilizar informações importantes para seu provável invasor dando pra ele um dor de cabeça a mais, pesquisar sobre seu servidor.


Uma outra tática também muito útil é configurar os servidor apache para interpretar diferentes tipos de arquivos através do PHP, ou com uma diretiva .htaccess, ou na própria configuração do apache. Você pode então usar extensões de arquivos enganadoras:

Escondendo PHP fazendo parecer com outra linguagem

# Fazer o código PHP parecer com outros tipos de códigos

AddType application/x-httpd-php .asp .py .pl


Ou escondê-lo completamente:

Usando tipos desconhecidos para extensões do PHP

# Fazer o código PHP parecer com tipos de códigos desconhecidos

AddType application/x-httpd-php .bop .foo .133t


Ou escondê-lo no código HTML, que tem baixa chance de ser atingido porque todos os HTML serão interpretados pelo PHP:

Exemplo 15-20. Usando tipos de HTML para extensões do PHP

# Fazer todo o código parecer com HTML

AddType application/x-httpd-php .htm .html


Para este exemplo funcionar corretamente, você deve renomeiar todos os seus arquivos PHP com as extensões acimas.


Conclusão:
Esta é uma forma de atrasar seu possível invasor limitando as informações a ele ou simplesmente tornando seu servidor obscuro ao seu invasor. O que não quer disser que deva ser sua única forma de proteção.


Espero ter ajuda até a próxima.


Leo Genilhu

Email leo@genilhu.com

Fonte : Manual do PHP
Leo Genilhu

Leo Genilhu - Atua como consultor de desenvolvimentos e aplicações em web/wireless, sendo analista de uma empresa de desenvolvimento.
Além disso participa de comunidades de linux e software livre. Mantedor de lista de discussão em php e linux.