Am 18. August 2011 ist die neue PHP-Version 5.3.7 erschienen, vor der jedoch gewarnt werden muss.
PHP Upgrade mit Bugs!
Durch ein paar unglückliche Fehler mit dem neuen PHP 5.3.7, wie es bei den Entwicklern heißt, ist das Upgrade nicht wirklich brauchbar und Anwender sollten unbedingt auf die nächste Veröffentlichung PHP 5.3.8 warten, welche in den nächsten Tagen erwartet wird.
Verwendet man mit dieser neuen PHP-Version die Funktion crypt() mit MD5 salts, werden Werte zurückgegeben welche alleine den Salt beinhalten.
Das Problem tritt also nur im Zusammenhang mit dem Verschlüsselungstyp MD5 auf. Mit DES und BLOWFISH scheint es keinerlei Probleme zu geben.
Nach wie vor verwenden viele Login-Systeme diese einfache Verschlüsselung mit MD5. Eben weil es eine recht einfache Absicherung ist, wird zusätzlich oft ein Salt verwendet. Das ist ein zufälliger String, der dem Passwort hinzugefügt wird.
Hier kann es also zu bösen Ärgernissen mit PHP-Anwendungen kommen, wenn lediglich dieser zufällige String von crypt() zurückgegeben wird.
Achtung Update!!!
Inzwischen wurde PHP 5.3.8 veröffentlicht, was den unschönen Fehler mit crypt() behebt. Auch bei mysqlnd welches für den Timeout bei SSL zuständig ist, wurden gemachte Änderungen wieder zurückgenommen.
