Что-то я не вполне понял, так он теперь будет просто объявлять о дырах, или всё-таки патчи будут сразу идти в suhosin и можно будет без проблем немедленно ими пользоваться?

Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?

Возможно, всё это для того, чтобы этими патчами таки пользовались..

Не, он теперь будет публиковать эксплоит вместе с сообщением о дырах, чтобы эти из пыхпых кори тима зашевелились :-)

Ну всё, теперь кулхацкеры начнут валить сервера с пых-пыхом один за другим.

Ну всё. Теперь капец PHP - ждём глобальных взломов.

Гы )

+1. сейчас идет стадия добивания жертвы.

Сабж: вот и всё, пхп всё глубже и глубже углубляется в глубокий анал истории.

>Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?
>anonymous

анонимус не читатель, анонимус писатель ?

Хвала Патрегу я доказал шефу преимущества закрытого интранета на php, а не открытого всем ветрам экстранета. Пусть терь чего хочет выдумывает, но по моей вине серверок не грохнут.

> Что-то я не вполне понял, так он теперь будет просто объявлять о дырах

Просто даже мухи не сношаются. Речь идет о том факте, что PHP-team не ужеляет должного внимания вопросам безопасности, чем и вызван уход одного из спецов. Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

Ответ не в тему, я спрашивал совершенно о другом, вообще-то. :) Хотя понимаю, что тебе трудно было удержаться и не написать про мухосношение, раз тут так удачно подвернулось слово "просто". :)

> публично опубликовать

;)

>Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

"Да ну ее нахер, эту безопасность, - кому она нужна, когда каждый сопливый школьник может поставить апач+мускуль+наш_пыхпых на свой гробик с вендой несколькими кликами мышкой, и уже через пару часов проб и ошибок с кодом пополнить нашу несокрушимую армию!"

Если причины ухода действительно такие, то надеюсь в PHP Team задумаются, и начнут уделять больше внимания фиксу багов безопасности.

В своем блоге он пишет: "The reasons for this are many, but the most important one is that I have realised that any attempt to improve the security of PHP from the inside is futile. The PHP Group will jump into your boat as soon you try to blame PHP's security problems on the user but the moment you criticize the security of PHP itself you become persona non grata. I stopped counting the times I was called immoral traitor for disclosing security holes in PHP or for developing Suhosin". Интересный подход у PHP group к своему детищу.

поправил, спасибо...

Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

Я, например, считаю что тот же magic quotes - это бред и заботиться о таких вещах надо не авторам языка, а программистам; и вне зависимости от register globals переменные надо инициализировать и т.п.

> Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

С чего вы взяли? В приведенной мной выдержке из блога такого не сказано.

Там сказано, что разработчики пхп не против когда критикуют и перекладывают всю вину за баги на людей пишущих программы на их языке. Зато они резко против когда критикуют их самих и их детище. Из-за такой практически отсутствующей возможности критиковать язык, а следовательно и исправлять ошибки, человек и покинул команду.

Судя по всему разработчики пхп предпочитают делать вид, что ошибок нет, нежели исправлять то, что наворотили.

вот и загнетцо скоро таки этот быдлонедоязычек

Ну и что ? Об уходе нужно было вот так вот громко заявить ? Я думаю ... проблеммы совсем в другом.

Альтернатива PHP? Python?

Вполне возможно, что вы правы. Я посмотрел блог - вроде Stefan Esser пишет довольно толковые вещи.

PHP мне не нравится. И я в этом ещё раз убедился, когда мне пару дней назад пришлось править код на PHP. Язык непродуманный и перегруженный какими-то тонкостями. Но, по крайней мере, у языка была своя ниша: простые странички, в которые надо вставить немного динамических данных.

Однако текущее направления развития языка - это путь в никуда. Хостеры (и пользователи) совершенно не собираются массово переходить даже на пятёрку. Им нужны не ОО расширения и enterprise системы, а хороший (и безопасный) safe mode и дополнительные функции и библиотеки.

Запись в блоге - рекламный ролик http://www.hardened-php.net/suhosin/why.html вот этой штуки ... не более ... IMHO

Ждем ебилдов :)

Эксперт по безопасности кидает команду PHP

Сабж? :)

альтернатива php - это JSP и SSI (на любом языке, если аккуратно делать)

в бытность свою админом (еще php3, начало php4) - вынес это ублюдство с сервера по причине отсутствия возможности это хоть как-то загнать в безопасные рамки (ну, через suExec только - в виде cgi скрипта). через suExec оно стало ПОЛЗАТЬ. иначе нельзя - на серваке полтора десятка сайтов было. после первого же слома - нафиг послал.

пыхники обиделись сначала, потом благодарили за то, что им таки пришлось изучить JSP и писать серверные приблуды по-человечески, как весь цивилизованный мир это делает. :)

А как сломали? Ну вот сейчас есть PHP5 и FastCGI...

И перед уходом был сделан патч который до этого был описан года так два назад - http://dedic.ru/node/2

php это венда :)). Там тоже в начале было, что безопасность не есть первоочередная задача, а когда зашевелились, то клеймо "дырявая" уже неототрёшь. у пых-пых клеймо уже есть, может скоро и зашевелятся или сдохнут.

приведи пример действительно популярного продукта и при этом не дырявого?

ИМХО все это PR конкретной персоны. Не осуждаю, нельзя не замечать такий людей. Но PHP такой же дырявый как и любой другой софт. Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то только потому что PHP чаще используется. Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

>приведи пример действительно популярного продукта и при этом не дырявого?

Читать умеем или только буковки ? Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

>Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

Дурак или прикидываешься? Как это спасет от переполнений буфера с исполнением произвольного кода с правами сайта?

Если админ не может обезапасить сервер от студента, который пишет на php, то это проблема админа, а не php или студента.

>Если админ не может обезапасить сервер от студента, который пишет на php, то это проблема админа, а не php или студента.

Мне интересно, вы с php, вообще, имеете дело ? :))).

>Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.

Жестко! От такого пых-пых быстро загнется. Кому надо у себя держать дырявую систему, причем, о дырках в которой знают все кому не лень.

Мда... :(

> Ну всё, теперь кулхацкеры начнут валить сервера с пых-пыхом один за другим.

да они и раньше валили 1 за другим...

Это все случаем не подтверждение пролетавших как-то невзначай слухов, что "спецы" из M$ начинут помогать "адаптировать" пыху к вендо-помойке под названием "IIS"? В таком случае все предпринимаемые шаги вполне себе логичны.

> "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

забыл добавить... и микропроцессоры :)

и причём тут linux и ssh к PHP? Или нынче все сайты пишут исключительно на perl? Раскручивание массовой истерии выгодно в первую очередь .Net-хостингам, никак не perl.

> Читать умеем или только буковки ? Спасибо, умник, шутку заценил... >Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ >починить в крат. сроки, а не хнёй заниматься. Всё патчится и релизится относительно оперативно.

>Продукты известны - ssh, perl, linux ядро и т.д. И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд...ну и потом http://www.google.ru/search?q=linux+kernel+security+hole

В PHP есть баги, но всё-таки большинство секурных дырок из-за кривых рук программистов, пишущих на php.

Зато теперь мы все знаем, что есть такой Stefan Esser, и он оказывается ниибаца какой спец по безопасности...

> Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?

Я купил. Потому что по PHP плачет фтопка.

> Альтернатива PHP? Python?

Perl?

> Жестко! От такого пых-пых быстро загнется.

И слава Б-гу.

> Perl?

Список настоящих языков программирования можно продолжить: Python, Ruby, Lisp, Tcl, Erlang. Насчёт последнего, кстати, не шутка, если кому действительно интересно, пусть посмотрят на Yaws, http://yaws.hyber.org/.

>> Альтернатива PHP? Python?

> Perl?

ASP :)

Ruby ?

>И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд

прочтите ещё раз. При непонятках ещё раз и ещё раз. Вы думать пробуете при ответе или "писатель" ? или новость что ли прочтите про ошибки в безопасности, которые не правятся 6 месяцев.