LINUX.ORG.RU

Эксперт по безопасности покидает команду PHP


0

0

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы, поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публиковать информацию. Теперь же он будет публиковать результаты своих исследований, невзирая на наличие исправлений в PHP.

>>> Перевод на opennet.

>>> Подробности

Deleted

Проверено: Teak ()

Re: Эксперт по безопасности покидает команду PHP

Что-то я не вполне понял, так он теперь будет просто объявлять о дырах, или всё-таки патчи будут сразу идти в suhosin и можно будет без проблем немедленно ими пользоваться?

Teak ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

Ну всё, теперь кулхацкеры начнут валить сервера с пых-пыхом один за другим.

steamson ()

Re: Эксперт по безопасности покидает команду PHP

Ну всё. Теперь капец PHP - ждём глобальных взломов.

Selecter ★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Хвала Патрегу я доказал шефу преимущества закрытого интранета на php, а не открытого всем ветрам экстранета. Пусть терь чего хочет выдумывает, но по моей вине серверок не грохнут.

manokur ★★ ()

Re: Эксперт по безопасности покидает команду PHP

> Что-то я не вполне понял, так он теперь будет просто объявлять о дырах

Просто даже мухи не сношаются. Речь идет о том факте, что PHP-team не ужеляет должного внимания вопросам безопасности, чем и вызван уход одного из спецов. Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

mutronix ★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Ответ не в тему, я спрашивал совершенно о другом, вообще-то. :) Хотя понимаю, что тебе трудно было удержаться и не написать про мухосношение, раз тут так удачно подвернулось слово "просто". :)

Teak ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

> публично опубликовать

;)

zhaba ()

Re: Эксперт по безопасности покидает команду PHP

>Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

"Да ну ее нахер, эту безопасность, - кому она нужна, когда каждый сопливый школьник может поставить апач+мускуль+наш_пыхпых на свой гробик с вендой несколькими кликами мышкой, и уже через пару часов проб и ошибок с кодом пополнить нашу несокрушимую армию!"

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

Если причины ухода действительно такие, то надеюсь в PHP Team задумаются, и начнут уделять больше внимания фиксу багов безопасности.

pento ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

В своем блоге он пишет: "The reasons for this are many, but the most important one is that I have realised that any attempt to improve the security of PHP from the inside is futile. The PHP Group will jump into your boat as soon you try to blame PHP's security problems on the user but the moment you criticize the security of PHP itself you become persona non grata. I stopped counting the times I was called immoral traitor for disclosing security holes in PHP or for developing Suhosin". Интересный подход у PHP group к своему детищу.

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

Я, например, считаю что тот же magic quotes - это бред и заботиться о таких вещах надо не авторам языка, а программистам; и вне зависимости от register globals переменные надо инициализировать и т.п.

Davidov ★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

> Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

С чего вы взяли? В приведенной мной выдержке из блога такого не сказано.

Там сказано, что разработчики пхп не против когда критикуют и перекладывают всю вину за баги на людей пишущих программы на их языке. Зато они резко против когда критикуют их самих и их детище. Из-за такой практически отсутствующей возможности критиковать язык, а следовательно и исправлять ошибки, человек и покинул команду.

Судя по всему разработчики пхп предпочитают делать вид, что ошибок нет, нежели исправлять то, что наворотили.

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

вот и загнетцо скоро таки этот быдлонедоязычек

Ex ★★ ()

Re: Эксперт по безопасности покидает команду PHP

Ну и что ? Об уходе нужно было вот так вот громко заявить ? Я думаю ... проблеммы совсем в другом.

robot12 ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Вполне возможно, что вы правы. Я посмотрел блог - вроде Stefan Esser пишет довольно толковые вещи.

PHP мне не нравится. И я в этом ещё раз убедился, когда мне пару дней назад пришлось править код на PHP. Язык непродуманный и перегруженный какими-то тонкостями. Но, по крайней мере, у языка была своя ниша: простые странички, в которые надо вставить немного динамических данных.

Однако текущее направления развития языка - это путь в никуда. Хостеры (и пользователи) совершенно не собираются массово переходить даже на пятёрку. Им нужны не ОО расширения и enterprise системы, а хороший (и безопасный) safe mode и дополнительные функции и библиотеки.

Davidov ★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Ждем ебилдов :)

anonymous ()

Эксперт по безопасности кидает команду PHP

Сабж? :)

Lumi ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

альтернатива php - это JSP и SSI (на любом языке, если аккуратно делать)

в бытность свою админом (еще php3, начало php4) - вынес это ублюдство с сервера по причине отсутствия возможности это хоть как-то загнать в безопасные рамки (ну, через suExec только - в виде cgi скрипта). через suExec оно стало ПОЛЗАТЬ. иначе нельзя - на серваке полтора десятка сайтов было. после первого же слома - нафиг послал.

пыхники обиделись сначала, потом благодарили за то, что им таки пришлось изучить JSP и писать серверные приблуды по-человечески, как весь цивилизованный мир это делает. :)

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

И перед уходом был сделан патч который до этого был описан года так два назад - http://dedic.ru/node/2

Poh ★☆ ()

Re: Эксперт по безопасности покидает команду PHP

php это венда :)). Там тоже в начале было, что безопасность не есть первоочередная задача, а когда зашевелились, то клеймо "дырявая" уже неототрёшь. у пых-пых клеймо уже есть, может скоро и зашевелятся или сдохнут.

vtVitus ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

ИМХО все это PR конкретной персоны. Не осуждаю, нельзя не замечать такий людей. Но PHP такой же дырявый как и любой другой софт. Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то только потому что PHP чаще используется. Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

sa10 ()

Re: Эксперт по безопасности покидает команду PHP

>приведи пример действительно популярного продукта и при этом не дырявого?

Читать умеем или только буковки ? Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

vtVitus ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

>Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

Дурак или прикидываешься? Как это спасет от переполнений буфера с исполнением произвольного кода с правами сайта?

anonymous ()

Re: Эксперт по безопасности покидает команду PHP

>Если админ не может обезапасить сервер от студента, который пишет на php, то это проблема админа, а не php или студента.

Мне интересно, вы с php, вообще, имеете дело ? :))).

vtVitus ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

>Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.

Жестко! От такого пых-пых быстро загнется. Кому надо у себя держать дырявую систему, причем, о дырках в которой знают все кому не лень.

Мда... :(

vada ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Это все случаем не подтверждение пролетавших как-то невзначай слухов, что "спецы" из M$ начинут помогать "адаптировать" пыху к вендо-помойке под названием "IIS"? В таком случае все предпринимаемые шаги вполне себе логичны.

Gharik ()

Re: Эксперт по безопасности покидает команду PHP

> "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

забыл добавить... и микропроцессоры :)

и причём тут linux и ssh к PHP? Или нынче все сайты пишут исключительно на perl? Раскручивание массовой истерии выгодно в первую очередь .Net-хостингам, никак не perl.

los_nikos ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

> Читать умеем или только буковки ? Спасибо, умник, шутку заценил... >Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ >починить в крат. сроки, а не хнёй заниматься. Всё патчится и релизится относительно оперативно.

>Продукты известны - ssh, perl, linux ядро и т.д. И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд...ну и потом http://www.google.ru/search?q=linux+kernel+security+hole

pento ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

В PHP есть баги, но всё-таки большинство секурных дырок из-за кривых рук программистов, пишущих на php.

pento ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

Зато теперь мы все знаем, что есть такой Stefan Esser, и он оказывается ниибаца какой спец по безопасности...

pento ★★★★★ ()

Re: Эксперт по безопасности покидает команду PHP

> Perl?

Список настоящих языков программирования можно продолжить: Python, Ruby, Lisp, Tcl, Erlang. Насчёт последнего, кстати, не шутка, если кому действительно интересно, пусть посмотрят на Yaws, http://yaws.hyber.org/.

navotno_stoechko ()

Re: Эксперт по безопасности покидает команду PHP

>И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд

прочтите ещё раз. При непонятках ещё раз и ещё раз. Вы думать пробуете при ответе или "писатель" ? или новость что ли прочтите про ошибки в безопасности, которые не правятся 6 месяцев.

vtVitus ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.