LINUX.ORG.RU

Эксперт по безопасности покидает команду PHP


0

0

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы, поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публиковать информацию. Теперь же он будет публиковать результаты своих исследований, невзирая на наличие исправлений в PHP.

>>> Перевод на opennet.

>>> Подробности

Deleted

Проверено: Teak ()

Ответ на: комментарий от los_nikos

>Раскручивание массовой истерии выгодно в первую очередь

При чём тут истерия и .net ? Истерия у админов, после вот таких новостей - http://www.hardened-php.net/advisory_132006.138.html :)) или вот таких http://www.linux.org.ru/profile/vtVitus/view-message.jsp?msgid=1622235

vtVitus ★★★★★
()
Ответ на: комментарий от Ex

Как показывает практика быдлонедоязычком называют его те, кто не осилил написания взломозащищённых программ. На работу такого не возьму - пусть страхается с жабскими поделиями. Видали таких мегаэкспертов.

anonymous
()
Ответ на: комментарий от anonymous

>Как показывает практика быдлонедоязычком называют его те, кто не осилил написания взломозащищённых программ.

На минном поле тоже можно играть в футбол, только не все доживут до конца матча.

Sun-ch
()
Ответ на: комментарий от Zulu

Я хотел аналогичный пост сделать, но потом решил, что это будет несовместимо с моральным кодексом модератора. :)

Teak ★★★★★
()
Ответ на: комментарий от anonymous

> в бытность свою админом (еще php3, начало php4) - вынес это ублюдство > с сервера по причине отсутствия возможности это хоть как-то загнать в > безопасные рамки (ну, через suExec только - в виде cgi скрипта). через > suExec оно стало ПОЛЗАТЬ. иначе нельзя - на серваке полтора десятка > сайтов было. после первого же слома - нафиг послал.

> пыхники обиделись сначала, потом благодарили за то, что им таки > пришлось изучить JSP и писать серверные приблуды по-человечески, как > весь цивилизованный мир это делает. :)

мдя, типа я зря сделал suexec-wrapper через ядро ? :)

anonymous
()
Ответ на: комментарий от anonymous

> Как показывает практика быдлонедоязычком называют его те, кто не осилил написания взломозащищённых программ.

[#] http://www.linux.org.ru/jump-message.jsp?msgid=1622235

"По твоему вопросу ясно, что ты не имел случае близко познакомиться с PHP и не знаешь, зачем нужны safe_mode и open_basedir. Счастливый человек. :)

Teak **** (*) (21.10.2006 15:19:13)"

=)

mutronix ★★★★
()
Ответ на: комментарий от anonymous

И много вы налабали web-порталов на C++?

eXOR ★★★★★
()
Ответ на: комментарий от Ex

> не... цплюсплюс не труЪ, труЪ это асм

ld.so в качестве браузера %)

iBliss
()

Граждане! Это GPL, если я не ошибся адресом сайта. Народу из RedHat, Novell, других фирм, продающих и сопровождающих коммерческий Линукс, это надо? Если "отдел безопасности PHP", состоящий сплошь из "экспертов по безопасности", не выполняет свою работу, думаю, эти парни (из коммерческих гигантов) либо заплатят кому надо, либо сделают сами их работу, но не допустят появления огромных дыр в системе (т.к. PHP до сих пор остаётся самым популярным движком динамики на веб-серверах).

А что касается функционала на уровне PHP4 повсеместно --- так кому нужны фишки PHP5, те платят хостерам не 4 бакса в месяц, и могут договориться о чём угодно. Ну и остаются ещё интранеты, которым не страшны скрипт-кидди с эксплоитами. Для целей автоматизации всяческих предприятий внутри них PHP5 подходит очень хорошо.

Ay49Mihas ★★★★
()
Ответ на: комментарий от Ay49Mihas

>Ну и остаются ещё интранеты, которым не страшны скрипт-кидди с эксплоитами.

Основная угроза безопасности исходит именно от локальных пользователей, ибо есть мотивация.

Sun-ch
()
Ответ на: комментарий от Sun-ch

>Основная угроза безопасности исходит именно от локальных пользователей, ибо есть мотивация.

Понимаешь, Саныч, локальные пользователи на раз просчитываются, и возмездие, как правило, находит своих героев.

Ay49Mihas ★★★★
()
Ответ на: комментарий от Sun-ch

> Основная угроза безопасности исходит именно от локальных пользователей

Полностью согласен. Добавить нечего. Разве что то, что особенно большая угроза от локальных пользователей, если пользователи в системе Solaris 10 (та самая, что с элементами trusted solaris). Ибо там юзеры могут становится рутом особенно просто. Баги там не фиксятся по три месяца, и даже до сих пор есть незакрытые дырочки и есть рабочие эксплойты.

А так - всё верно ты говоришь :-)

dmesg
()
Ответ на: комментарий от anonymous

>> Дурак или прикидываешься? Как php_hardened спасет от переполнений буфера с исполнением произвольного кода с правами сайта?

php_hardened тебя точно не спасет :)

Особо умный эксперт-анонимус укажет нам правильный путь и назовет один единственный софт про который он ничего не знает, но недавно прочитал в рекламном объявлении, и на который нужно молиться истинным правоверным, а все кто против, те грязные содомиты и т.д.

sa10
()
Ответ на: комментарий от Davidov

> Язык непродуманный и перегруженный какими-то тонкостями.

Таки, да. Многие вещи тянутся из-за совместимости. А язык вполне нормальный, особенно с пятой версии. Вот ещё бы unicode получить... :)

> Хостеры (и пользователи) совершенно не собираются массово переходить даже на пятёрку

Вызывающе неверная информация. Любой уважающий себя хостер имеет пятёрку. И четвёрку, потому что некоторый древний код проще гонять на ней, чем портировать.

atrus ★★★★★
()
Ответ на: комментарий от Ex

> не... цплюсплюс не труЪ, труЪ это асм

Эх, молодёжь... ;-) Вот помню в наше время короткие програмки (до 100 байт) в маш. кодах писали. Вот это - настоящий труЪ! Только оффсеты зае... пересчитывать при вставке/удалении опкодов. :)

atrus ★★★★★
()
Ответ на: комментарий от dmesg

>Разве что то, что особенно большая угроза от локальных пользователей, если пользователи в системе Solaris 10 ...
>dmesg (*) (15.12.2006 16:16:40)

О! А я твой бут видел:
#dmesg
...
CPU: Brain is not installed, use emulation
...
real memory: 1 day
avail memory: 0.5 days
...
atkbd0: <AT Keyboard with wide fingers extention> irq 1
...

Верьте таким ботам людьи у них микрокод правильный!

while (TRUE) {
say("LooNiX - R0oleSz!!!");
if (something_is_better_that_Linux) say("%s - DERMO!!!!!", something);
}

Это _НЕ_ С! :)

anonymous
()
Ответ на: комментарий от Davidov

> Я, например, считаю что тот же magic quotes - это бред и заботиться о таких вещах надо не авторам языка, а программистам

Разумеется, заботиться об этом надо не авторам языка, а авторам [core] библиотек. Нынче ни у кого, кроме некоторых, особо ... одаренных, не вызывает проблем явный и синтаксически выделенный биндинг параметров к SQL-запросу, всё автоматом искейпится, как должно. И только эти... особо одаренные продолжают формировать SQL-запросы, склеивая невесть откуда взявшиеся строчки.

Собственно, это и есть главная проблема с безопасностью в PHP: создатели ключевых библиотек проектируют свои детища, не особо задумываясь о том, что пользоваться библиотеками будут частенько совсем не гении. А "не гении", в свою очередь, при использовании библиотек не задумываются над тем, что проектировщики пожалели своих интеллектуальных усилий.

AlexM ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.