Blog

Wat is er nieuw in PHP 7.2?

PHP 7.2 is nu beschikbaar op al onze servers. Maar wat is er nieuw in PHP 7.2? PHP 7 werd eind 2015 gelanceerd en luidde een nieuw tijdperk in voor de programmeertaal en bijhorende community die al enkele jaren flink aan het evolueren was.

PHP is de taal van een groot deel van het internet. Veel van de populairste applicaties en frameworks zijn geschreven in PHP, inclusief WordPress, dat 27% van alle sites op internet vertegenwoordigt.

83% van alle websites maakt gebruik van PHP. Bijvoorbeeld frame works zoals Drupal, WordPress en Magento hebben bijgedragen aan het grote succes van PHP. PHP werkt op miljoenen shared hosting accounts, virtual private servers en dedicated servers.

En toch zijn de ingebouwde cryptografie-opties voor ’s werelds meest populaire server-side taal niet zo indrukwekkend.

PHP 7.2 release datum

De nieuwste versie van de populaire scripting taal PHP werd vrijgegeven op 30 november 2017. PHP 7.2 brengt duidelijke verbeteringen in beveiliging en prestaties met zich mee. Bij de PHP 7 versie was de performance al sterk verbeterd.

PHP 7.2 prestaties

PHP 7.2 is gebaseerd op prestatiebenchmarks die Phoronix uitvoert en loopt tot 13% sneller dan PHP 7.1, of 20% sneller dan PHP 7.0. En vergeleken met PHP 5.6 is PHP 7.2 meer dan 250% sneller. Dit leidt tot snellere codering en het sneller laden van websites.

PHP 7.2 nieuwe functies

Nieuwe versies worden vaak geleverd met een reeks nieuwe functies en PHP 7.2 is niet anders. Misschien wel de belangrijkste functionaliteit toevoegingen aan PHP 7.2 zijn de nieuwe beveiligingsfuncties.

Libsodium

Libsodium is een cryptografische bibliotheek van applicatielagen die wordt gebruikt voor codering, decodering en wachtwoordhashing. De introductie van Libsodium zorgt ervoor dat PHP 7.2 up-to-date blijft met de nieuwste methoden in cryptografie.

De meest moderne hash-algoritmen uitvoeren is van vitaal belang voor de beveiliging, en het nieuwe Argon2-hash-algoritme voor wachtwoorden wordt het meest aanbevolen.

Het verbeterde algoritme betekent dat het veel moeilijker en meer rekenintensief is voor aanvallers om gebruikerswachtwoorden te verkrijgen. Deze verbeterde codering komt ook de documentidentificatie en codering van Zip-bestanden ten goede.

Oude functies worden verwijderd

Zoals met alle nieuwe versies van PHP, is er een reeks functies en functies die verouderd zijn. Er is een lijst met verouderde functies op de PHP-website. Mcrypt wordt bijvoorbeeld verwijderd. Deze functies worden volledig verwijderd voordat PHP 8.0 wordt vrijgegeven.

Deze functies blijven werken in PHP 7.2, maar foutmeldingen verschijnen in logbestanden. Het is daarom aan te raden dat ontwikkelaars hun code controleren en eventuele verouderde functies bijwerken voordat ze achterwaarts incompatibel worden.

Een lijst met functies die achterwaarts incompatibel zijn en niet meer werken in PHP 7.2 is ook beschikbaar op de PHP-website.

PHP 7.2 voor WordPress

Het is altijd belangrijk om de meest recente versie van de software te gebruiken, maar meer dan 40% van de WordPress gebruikers gebruiken nog steeds PHP 5.6. Aangezien WordPress het populairste content beheersysteem ter wereld is, is dat een aanzienlijk aantal mensen met een verouderde versie.

WordPress gebruikers moeten ervoor zorgen dat ze upgraden naar de nieuwste versie van PHP om ervoor te zorgen dat hun websites zo snel mogelijk worden uitgevoerd, maar controleer de PHP-migratiegids om te voorkomen dat er iets kapot gaat.

PHP 7.0 einde levensduur

Een belangrijke reden om te updaten naar PHP 7.2 is dat PHP 7.0 eind van de beveiligingsondersteuning heeft bereikt op 3 december 2017. Hoewel beveiligingsondersteuning voor kritieke problemen tot december 2018 nog beschikbaar is voor PHP 7.0, biedt de PHP-community niet langer ondersteuning voor bugs en kleine beveiligingsproblemen. PHP 7.1 bereikt einde actieve ondersteuning op 1 december 2018.

Argon2

Bcrypt was kort gelden nog de beste optie om wachtwoorden te hashen in PHP. Argon2 is in de PHP 7.2 versie een goed alternatief. De algoritmen Argon2, Bcrypt en Pbkdf2 worden momenteel beschouwd als de sterkste wachtwoord hash-functies. Argon2 is een stuk nieuwer en dit kan zowel een voordeel als een nadeel zijn.

Aan de ene kant profiteert Argon2 van recenter onderzoek. Aan de andere kant heeft Argon2 niet dezelfde hoeveelheid onderzoek ontvangen als Bcrypt/Pbkdf2.
Argon2 is de winnaar van de Password Hashing Competition (PHC). Argon2 is een geheugenharde wachtwoordhash-functie die kan worden gebruikt voor hash-wachtwoorden voor opslag van referenties, sleutelafleiding of andere toepassingen.

Hard zijn betekent dat het niet alleen computationeel duur is, maar ook veel geheugen gebruikt (dat kan worden geconfigureerd). Dit betekent dat het veel moeilijker is om Argon2-hashes aan te vallen met GPU’s of speciale hardware.

Sodium als nieuwe optie

Door PHP’s kernontwikkelaars werd besloten om Libsodium te integreren, een moderne cryptografische bibliotheek die een uitgebreide set beveiligings-API’s op hoog niveau biedt voor ontwikkelaars van PHP-applicaties.

PHP maakt een aantal functies beschikbaar voor het genereren van willekeurige reeksen, codering en hashen. Enkele van de belangrijkste functies zijn gebaseerd op OpenSSL, een eerbiedwaardige cryptografiebibliotheek met problemen.

Als je een paar jaar terugdenkt, herinner je je de Heartbleed-kwetsbaarheid, en dat is verre van de enige veiligheidsramp die te wijten is aan OpenSSL.

Libsodium is een vorm van NaCl, een beveiligingsbibliotheek die is gemaakt door Daniel J. Bernstein, een gerespecteerd computerwetenschapper en cryptograaf. De creatie van NaCl werd ingegeven door de tekortkomingen van OpenSSL en de wens om eenvoudige maar correcte versleutelingshulpmiddelen op grotere schaal beschikbaar te maken.

Libsodium biedt een verbeterde, eenvoudig te gebruiken API voor de meest voorkomende toepassingen van cryptografie in web-apps. Libsodium bevat algoritmen voor algoritmen met een hoge snelheid en constante tijd elliptische curve.

Libsodium is al geruime tijd beschikbaar in PECL, maar de integratie ervan in PHP is een belangrijke stap voorwaarts. PHP wordt gebruikt door ontwikkelaars van alle niveaus. Zonder een moderne cryptografische bibliotheek van hoge kwaliteit die beschikbaar is in PHP, kunnen ontwikkelaars hun eigen cryptografie-oplossingen bouwen of gewoon vertrouwen op de bestaande tools.

Libsodium is gebouwd met gebruiksgemak in het achterhoofd. Met de huidige mix van cryptografische functies in PHP is het vaak niet duidelijk voor onervaren ontwikkelaars welke functies het beste zijn om te gebruiken in welke omstandigheden, wat ertoe kan leiden dat zogenaamd veilige software helemaal niet veilig is, de slechtst mogelijke combinatie voor elke webapplicatie die gevoelig is met gegevens.

PHP 7.3 ook beschikbaar op SWX shared hosting

Direct na de lancering van PHP 7.2 hebben wij ondersteuning voor de update aangekondigd voor al onze shared hosting klanten. Alle nieuwe functies zijn dus beschikbaar en kun je gebruiken. Bij een nieuw hosting pakket krijg je gelijk deze update.

Gepost op 10/12/2018
Tags: , , ,

Copyright © 2019 - SWX.be - Alle Rechten Voorbehouden.