“Praktiki olaraq bütün saytlar təhlükə qarşısındadır”
Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyinin tərkibində fəaliyyət göstərən Kompüter insidentlərinə qarşı mübarizə mərkəzi bütün saytların təhlükə qarşısında olması ilə bağlı xəbərdarlıq edib.
Mərkəzin saytında yerləşdirilən məlumata görə, PHP-də boşluq aşkar olunub. Bu boşluq da praktiki olaraq bütün saytları təhlükə qarşısında qoyur.
Belə ki, “White Hat Security”–-nin mütəxəssisi Robert Xansen “Magic Hash” adını almış boşluq aşkar edib. PHP-nin xeşlərlə işləyən zaman yaranmış xətanın köməkliyi ilə haker istifadəçi şifrini əldə edə bilər və bu kimi təhlükəsizliyin təmin olunması vasitələrini adlaya bilər.
Mövcud problem iki xeşin müqayisəsi zamanı bərabər-bərabər (= =) operatorundan istifadə edərkən baş verir. “PHP base 16” şifrləmə üsulundan istifadə edir və biz nəticədə aşağıdakına bənzər sətir alırıq:
“0e812389…”
Ekspertlərin rəyinə görə, bu boşluq milyonlarla saytı təhlükə ilə üz-üzə qoya və ciddi problemə çevrilə bilər. Əgər verilənlər bazasında istifadəçi şifrinin xeşi “0e” ilə başlayırsa, haker istənilən sətirdən istifadə edərək şifri bilmədən sistemə uğurlu giriş edə bilər.
Mütəxəssislər bu problemin müəyyən vaxtlıq həlli olaraq 3 bərabərlikdən (===) istifadə etməyi tövsiyə edirlər.
SEYMUR