Andreas Bogk, senior hacker de la empresa Xing y miembro del legendario Chaos Computer Club, afirma que PHP crea nmeros de sesin de usuario (ID) propensos a ser adivinados con facilidad. Esto es grave si consideramos la inmensa red de sitios web (e.g., algunas redes sociales) que utiliza ese motor para la creacin de sus pginas web.

El estudio de Bogk, difundido hace un par de das desde SecList.org, revela lo siguiente:

PHP utiliza un dbil, criptogrficamente hablando, generador de nmeros aleatorios (RNG) para producir identificadores de sesin de usuario.

PHP no usa suficiente entropa para la semilla del RNG, y parte de ella puede perderse con el mal uso de la funcin uniqid().

Bajo ciertas circunstancias, la conjuncin de ese par de debilidades provoca una reduccin en la cantidad de posibles valores de un ID de sesin con PHP, tanto as que es factible un ataque contra un servidor web por la bsqueda exhaustiva de ID vlidos.

Samy Kamkar, otro gran hacker, evidenci hace unos meses lo fcil que es predecir el ID de sesin. Esto llev a mejorar la forma de crear semillas para el algoritmo RNG en versiones posteriores de PHP. El hallazgo de Bogk revela que los cambios an son insuficientes y recomienda a los desarrolladores de PHP mejorar sus conocimientos en criptografa. Aqu cabe mencionar que las instalaciones de PHP que usen Suhosin no estn comprometidas.

Como sucede en muchos otros casos, el trabajo de esos hackers ayudar a mejorar la seguridad de PHP.


Fuente