Библиотека Sodium Compat поможет реализовать верификацию обновлений в WordPress

17.01.2017 10:06

Доступно несколько первых выпусков криптографической библиотеки Sodium Compat, примечательной тем, что она реализована целиком на языке PHP и не требует для своей работы внешних зависимостей. Sodium Compat совместим с libsodium и может применяться в качестве замены расширения pecl/libsodium.

Ключевым достоинством Sodium Compat является поддержка работы с устаревшими версиями PHP, что является актуальной проблемой, так как полноценные средства для работы с цифровыми подписями и открытыми ключами появились только в относительно новых выпусках PHP. Например, Sodium Compat может работать с PHP 5.2.4, в то время как для использования pecl/libsodium требуется ветка PHP 5.4 и дополнительная внешняя зависимость.

В частности, подобное ограничение мешает внедрению в WordPress средств для верификации устанавливаемых дополнений по цифровой подписи. Без повышения минимально поддерживаемой версии интерпретатора PHP проверку по цифровой подписи реализовать не получается из-за отсутствия необходимых криптографических функций, а поднять минимальную версию PHP мешают обязательства перед пользователями. Без системы верификации дополнений компрометация api.wordpress.org и распространение через официальные источники вредоносного обновления может привести к массовому поражению пользовательских систем с WordPress, которые по некоторым оценкам составляют до 27% всех сайтов в глобальной сети. Sodium Compat позволит выйти из возникшего тупика и реализовать проверку дополнений по цифровым подписям без повышения требований к программному окружению.