URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 86465
[ Назад ]

Исходное сообщение
"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."

Отправлено opennews , 14-Сен-12 10:57 
Представлены (http://www.php.net/archive/2012.php#id2012-09-13-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.7 и 5.3.17, в которых устранено 29 ошибок (http://www.php.net/ChangeLog-5.php), не связанных с безопасностью, но устраняющих некоторые серьёзные проблемы со стабильностью, в том числе к крахам и утечкам памяти. Из устранённых ошибок отмечается решение проблемы с установкой исполняемых файлов php как binary.dSYM и невозможность обработать больше одной директивы для директории через registry в Windows. В анонсе настоятельно рекомендуется обновить PHP до представленных новых версий.


Отдельный интерес представляет (http://www.reddit.com/r/PHP/comments/zrprk/the_new_secure_pa... план (https://gist.github.com/3707231) по реализации в будущей ветке PHP 5.5 нового API для хэширования паролей. Основное отличие нового API в том, что оно возьмёт на себя генерацию надёжных хэшей, скрыв от пользователя операции ручного указания salt-а и выбора алгоритма хэширования (по умолчанию используется  Bcrypt (http://ru.wikipedia.org/wiki/Bcrypt)), таким образом предоставив более надёжные и простые для использования высокоуровневые функции. Создание хэша будет сведено к выполнению "$hash = password_hash($password, PASSWORD_DEFAULT);", а проверка к вызову "password_verify($password, $hash)". В качестве причины внедрения нового API называется безалаберное отношение многих разработчиков к генерации salt-ов и повсеместный выбор нестойких к перебору алгоритмов хэширования.


URL: http://www.php.net/archive/2012.php#id2012-09-13-1
Новость: https://www.opennet.ru/opennews/art.shtml?num=34838


Содержание

Сообщения в этом обсуждении
"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено The Doctor , 14-Сен-12 10:57 
> В качестве причины внедрения нового API называется безалаберное отношение многих разработчиков к генерации salt-ов и повсеместный выбор нестойких к перебору алгоритмов хэширования.

PHP is so PHP. :)


"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено x0r , 14-Сен-12 11:50 
собственно, а что они хотели? защита от дурака, должна быть, хотя бы в режиме отлдаки

"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено samm , 14-Сен-12 14:01 
вот как будто в других языках использование md5 hash без соли - редкость.

"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено satarsa , 14-Сен-12 17:05 
> в которых устранено 29 ошибок, не связанных с безопасностью

То есть безопасность уже совсем не исправляют?


"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено Аноним , 16-Сен-12 08:44 
Уже 5.3.17, а PHP 5.2.17 живее всех живых http://code.google.com/p/php52-backports/
никому мегафичи 5.4 не нужны, хостерам нужна стабильность так как клиенты платят деньги и перереписывать скрипты не будут.

"Обновление PHP 5.4.7 и 5.3.17. В PHP 5.5 ожидается новый API..."
Отправлено Денис , 17-Сен-12 04:59 
+1 Для хостеров 5.2.17 еще живее всех живых