LINUX.ORG.RU

Эксперт по безопасности покидает команду PHP


0

0

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы, поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публиковать информацию. Теперь же он будет публиковать результаты своих исследований, невзирая на наличие исправлений в PHP.

>>> Перевод на opennet.

>>> Подробности

Deleted

Проверено: Teak ()

Что-то я не вполне понял, так он теперь будет просто объявлять о дырах, или всё-таки патчи будут сразу идти в suhosin и можно будет без проблем немедленно ими пользоваться?

Teak ★★★★★
()
Ответ на: комментарий от Teak

Возможно, всё это для того, чтобы этими патчами таки пользовались..

MiracleMan ★★★★★
()
Ответ на: комментарий от Teak

Не, он теперь будет публиковать эксплоит вместе с сообщением о дырах, чтобы эти из пыхпых кори тима зашевелились :-)

ugoday ★★★★★
()

Ну всё. Теперь капец PHP - ждём глобальных взломов.

Selecter ★★★★
()
Ответ на: комментарий от steamson

+1. сейчас идет стадия добивания жертвы.

Сабж: вот и всё, пхп всё глубже и глубже углубляется в глубокий анал истории.

shahid ★★★★★
()
Ответ на: комментарий от anonymous

>Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?
>anonymous

анонимус не читатель, анонимус писатель ?

szh ★★★★
()

Хвала Патрегу я доказал шефу преимущества закрытого интранета на php, а не открытого всем ветрам экстранета. Пусть терь чего хочет выдумывает, но по моей вине серверок не грохнут.

manokur ★★
()
Ответ на: комментарий от Teak

> Что-то я не вполне понял, так он теперь будет просто объявлять о дырах

Просто даже мухи не сношаются. Речь идет о том факте, что PHP-team не ужеляет должного внимания вопросам безопасности, чем и вызван уход одного из спецов. Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

mutronix ★★★★
()
Ответ на: комментарий от mutronix

Ответ не в тему, я спрашивал совершенно о другом, вообще-то. :) Хотя понимаю, что тебе трудно было удержаться и не написать про мухосношение, раз тут так удачно подвернулось слово "просто". :)

Teak ★★★★★
()
Ответ на: комментарий от mutronix

>Причины такого подхода к делу со стороны PHP-team не указаны, но догадаться думаю можно ;)

"Да ну ее нахер, эту безопасность, - кому она нужна, когда каждый сопливый школьник может поставить апач+мускуль+наш_пыхпых на свой гробик с вендой несколькими кликами мышкой, и уже через пару часов проб и ошибок с кодом пополнить нашу несокрушимую армию!"

anonymous
()

Если причины ухода действительно такие, то надеюсь в PHP Team задумаются, и начнут уделять больше внимания фиксу багов безопасности.

pento ★★★★★
()

В своем блоге он пишет: "The reasons for this are many, but the most important one is that I have realised that any attempt to improve the security of PHP from the inside is futile. The PHP Group will jump into your boat as soon you try to blame PHP's security problems on the user but the moment you criticize the security of PHP itself you become persona non grata. I stopped counting the times I was called immoral traitor for disclosing security holes in PHP or for developing Suhosin". Интересный подход у PHP group к своему детищу.

anonymous
()
Ответ на: комментарий от anonymous

Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

Я, например, считаю что тот же magic quotes - это бред и заботиться о таких вещах надо не авторам языка, а программистам; и вне зависимости от register globals переменные надо инициализировать и т.п.

Davidov ★★★★
()
Ответ на: комментарий от Davidov

> Судя по всему, человек называл дырами в PHP то, что обычно находится в руках программиста.

С чего вы взяли? В приведенной мной выдержке из блога такого не сказано.

Там сказано, что разработчики пхп не против когда критикуют и перекладывают всю вину за баги на людей пишущих программы на их языке. Зато они резко против когда критикуют их самих и их детище. Из-за такой практически отсутствующей возможности критиковать язык, а следовательно и исправлять ошибки, человек и покинул команду.

Судя по всему разработчики пхп предпочитают делать вид, что ошибок нет, нежели исправлять то, что наворотили.

anonymous
()

Ну и что ? Об уходе нужно было вот так вот громко заявить ? Я думаю ... проблеммы совсем в другом.

robot12 ★★★★★
()
Ответ на: комментарий от anonymous

Вполне возможно, что вы правы. Я посмотрел блог - вроде Stefan Esser пишет довольно толковые вещи.

PHP мне не нравится. И я в этом ещё раз убедился, когда мне пару дней назад пришлось править код на PHP. Язык непродуманный и перегруженный какими-то тонкостями. Но, по крайней мере, у языка была своя ниша: простые странички, в которые надо вставить немного динамических данных.

Однако текущее направления развития языка - это путь в никуда. Хостеры (и пользователи) совершенно не собираются массово переходить даже на пятёрку. Им нужны не ОО расширения и enterprise системы, а хороший (и безопасный) safe mode и дополнительные функции и библиотеки.

Davidov ★★★★
()

Ждем ебилдов :)

anonymous
()

Эксперт по безопасности кидает команду PHP

Сабж? :)

Lumi ★★★★★
()
Ответ на: комментарий от pento

альтернатива php - это JSP и SSI (на любом языке, если аккуратно делать)

в бытность свою админом (еще php3, начало php4) - вынес это ублюдство с сервера по причине отсутствия возможности это хоть как-то загнать в безопасные рамки (ну, через suExec только - в виде cgi скрипта). через suExec оно стало ПОЛЗАТЬ. иначе нельзя - на серваке полтора десятка сайтов было. после первого же слома - нафиг послал.

пыхники обиделись сначала, потом благодарили за то, что им таки пришлось изучить JSP и писать серверные приблуды по-человечески, как весь цивилизованный мир это делает. :)

anonymous
()
Ответ на: комментарий от anonymous

А как сломали? Ну вот сейчас есть PHP5 и FastCGI...

pento ★★★★★
()

И перед уходом был сделан патч который до этого был описан года так два назад - http://dedic.ru/node/2

Poh ★☆
()

php это венда :)). Там тоже в начале было, что безопасность не есть первоочередная задача, а когда зашевелились, то клеймо "дырявая" уже неототрёшь. у пых-пых клеймо уже есть, может скоро и зашевелятся или сдохнут.

vtVitus ★★★★★
()

ИМХО все это PR конкретной персоны. Не осуждаю, нельзя не замечать такий людей. Но PHP такой же дырявый как и любой другой софт. Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то только потому что PHP чаще используется. Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

sa10
()
Ответ на: комментарий от pento

>приведи пример действительно популярного продукта и при этом не дырявого?

Читать умеем или только буковки ? Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

vtVitus ★★★★★
()
Ответ на: комментарий от sa10

>Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

Дурак или прикидываешься? Как это спасет от переполнений буфера с исполнением произвольного кода с правами сайта?

anonymous
()
Ответ на: комментарий от anonymous

Если админ не может обезапасить сервер от студента, который пишет на php, то это проблема админа, а не php или студента.

drd ★★
()
Ответ на: комментарий от drd

>Если админ не может обезапасить сервер от студента, который пишет на php, то это проблема админа, а не php или студента.

Мне интересно, вы с php, вообще, имеете дело ? :))).

vtVitus ★★★★★
()

>Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.

Жестко! От такого пых-пых быстро загнется. Кому надо у себя держать дырявую систему, причем, о дырках в которой знают все кому не лень.

Мда... :(

vada ★★★★★
()
Ответ на: комментарий от steamson

> Ну всё, теперь кулхацкеры начнут валить сервера с пых-пыхом один за другим.

да они и раньше валили 1 за другим...

anonymous
()

Это все случаем не подтверждение пролетавших как-то невзначай слухов, что "спецы" из M$ начинут помогать "адаптировать" пыху к вендо-помойке под названием "IIS"? В таком случае все предпринимаемые шаги вполне себе логичны.

Gharik
()
Ответ на: комментарий от vtVitus

> "секурити" или фенечки. Багу нашли _обязаны_ починить в крат. сроки, а не хнёй заниматься. Продукты известны - ssh, perl, linux ядро и т.д.

забыл добавить... и микропроцессоры :)

и причём тут linux и ssh к PHP? Или нынче все сайты пишут исключительно на perl? Раскручивание массовой истерии выгодно в первую очередь .Net-хостингам, никак не perl.

los_nikos ★★★★★
()
Ответ на: комментарий от vtVitus

> Читать умеем или только буковки ? Спасибо, умник, шутку заценил... >Важен _приоритет_ - "секурити" или фенечки. Багу нашли _обязаны_ >починить в крат. сроки, а не хнёй заниматься. Всё патчится и релизится относительно оперативно.

>Продукты известны - ssh, perl, linux ядро и т.д. И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд...ну и потом http://www.google.ru/search?q=linux+kernel+security+hole

pento ★★★★★
()

В PHP есть баги, но всё-таки большинство секурных дырок из-за кривых рук программистов, пишущих на php.

pento ★★★★★
()

Зато теперь мы все знаем, что есть такой Stefan Esser, и он оказывается ниибаца какой спец по безопасности...

pento ★★★★★
()
Ответ на: комментарий от anonymous

> Интересно кто его купил? Майкрософт или Sun, а может быть скинулись?

Я купил. Потому что по PHP плачет фтопка.

navotno_stoechko
()
Ответ на: комментарий от mares

> Perl?

Список настоящих языков программирования можно продолжить: Python, Ruby, Lisp, Tcl, Erlang. Насчёт последнего, кстати, не шутка, если кому действительно интересно, пусть посмотрят на Yaws, http://yaws.hyber.org/.

navotno_stoechko
()
Ответ на: комментарий от mares

>> Альтернатива PHP? Python?

> Perl?

ASP :)

anonymous
()
Ответ на: комментарий от pento

>И что таки perl можно сравнивать по популярности с PHP? ну ядро тут конечно в один ряд

прочтите ещё раз. При непонятках ещё раз и ещё раз. Вы думать пробуете при ответе или "писатель" ? или новость что ли прочтите про ошибки в безопасности, которые не правятся 6 месяцев.

vtVitus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.