Suhosin Patch と Extension の違いについて疑問に思っていましたか? たとえば、PHP 5.2.17 と Xcache 1.3.1 および Zend Optimizer 3.3.0.a をインストールする必要があるのはどれですか? Suhosin Extension 0.9.32.1 でいいのでしょうか? パッチ バージョン PHP バージョンは、PHP 5.3.4/5.3.3 用の Suhosin Patch 0.9.10 と、私の場合、PHP 5.2.17 用の Suhosin Patch 0.9.7 ですか?
また、セキュリティ ポイントからのパッチとエクステンションの明確な違いを理解できませんでした。これらはどのように異なるのでしょうか?
違いは簡単です。1 つ (拡張子) は通常の拡張子として動作するため、他の拡張子との互換性が保持されます。もう一方 (パッチ) はそうではないため、他の 3pd 拡張機能が壊れる可能性があります。
ここで考慮すべきことの 1 つは、最新バージョンのパッチがリリースされていないことです (最新のパッチ バージョンは 5.3.4 であるため、5.3.5 安定版は使用できません)。現在、古いバージョンの PHP をインストールしてパッチを使用することもできますが、最新バージョンのコアによって閉じられた脆弱性にさらされることになります。私見はそれだけの価値がありません。
ここで、1つのことを絶対に明確にしたいと思います。Suhosin (およびその他の拡張機能/パッチ、および mod_security など) は、実際にはコードを保護しません。重要なことなので、それを言いましょう。コードを保護しません。それが行うことは、一般的に使用されるいくつかの攻撃ベクトルを閉じ、一般的に悪用される内部機能を無効にすることです。しかし、コードに脆弱性が存在する可能性は依然としてあります。
したがって、悪いコードを「補強」するのに役立つかもしれませんが、良いコードとは何の違いもありません。コードを保護するために時間と労力を費やすと、パッチと拡張機能は実際には役に立たなくなります。しかし、邪魔にならない限り、すべてのレイヤーが有用であるという意味では、ファイアウォールのようなものです (特に、100% 安全なコードを書くことは事実上不可能であるため)。
見てください:http://www.hardened-php.net/suhosin/a_feature_list.html
セクションエンジン保護は、パッチが適用された php ソースを使用している場合にのみ使用できます。