LINUX.ORG.RU

Безопасность PHP изнутри


0

0

Читайте интервью со специалистом по безопасности PHP - Stefan Esser'ом, который недавно покинул команду разработчиков и известен, прежде всего, своим проектом Hardened PHP. Из интервью вы узнаете, что на данный момент накоплена база из 31 серьёзных ошибок, что PHP лучше не запускать в виде модуля апача, что, не смотря на все ухищрения, сам язык PHP крайне небезопасен.

Тем временем, вышел PHP 5.2.1, в котором исправлена большое количество ошибок (более 180), а также произведены некоторые оптимизации: http://www.php.net/releases/5_2_1.php

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Да уж, наслышаны про этого Стефана... Девочка-истеричка, и его "рассуждения" всерьез воспринимать не хочется

boombick ★★★★★
()

"Безопасность PHP" - оксюморон

gr_buza ★★★★
()
Ответ на: комментарий от boombick

бобриг, тебе так сильно не хочется учить более другие языки, что ты уже просто закрываешь глаза на архитектурную дырявость пыхпыха? :)

geek ★★★
()
Ответ на: комментарий от Firestorm

>что PHP лучше не запускать в виде модуля апача,

его вообще лучше не запускать... Черт, но эта зараза так уже интернет собой загадила, увы, приходиццо %-((

anonymous
()

PHP - это Perl для полных кретинов. Сколько можно возиться вокруг этого недоязыка? Стереть и забыть. Учить матчасть и Смоллток.

anonymous
()

А этому деятелю всё неймётся.

kastaneda
()
Ответ на: комментарий от geek

Не, на пых подзабил уже.. щас на питоне пишу, на пыхе только на работе

Да и хрен с ней, с дырявостью.. Дело в том, что этот г-н "спец по безопасности" просто мусчина с неуравновешенной психикой
[квоте]
само-названный "эксперт" по безопасности, который не обладает самыми простыми навыками общения с людьми (например, если ты работаешь с кем-то в команде, то посылать его на х.й не хорошо) устроил истерику на тему "меня никто не любит" (ещё бы) и решил хлопнуть дверью.
несомненно, он делал полезную работу (бесполезную работу мне сложно представить).
несомненно, он и дальше её будет делать.
что изменилось - если раньше он посылал на х.й в личной почте и/или листах, то теперь будет делать это в своём блоге.

еще несколько интересных фактов о нём:
- это тот человек, по вине которого были поломаны два релиза веток 4.1 и 4.2.
- это тот человек, который за последние несколько месяцев не закоммитил ни строки кода, но устроил штук пять скандалов.
- это тот человек, который продаст родную маму, если это хоть как-то навредит компании Zend, которую (и сотрудников которой) он ненавидит лютой ненавистью (по неизвестным причинам).
[/квоте]
Это цитата одного из активных коммитеров PHPTeam
ЗЫ И что такое "более другие языки"? =)

boombick ★★★★★
()
Ответ на: комментарий от boombick

и тем не менее фиксы многих дырок по несколько месяцев маринуются в цвс ибо им впадло сделать релиз. про 4.* вообще молчу

anonymous
()
Ответ на: комментарий от anonymous

+1. Его в комманде нет, а выхода нового релиза четвертой ветки ждем, как пресловутого ебуилда гентушники.

Valmont ★★★
()

происходящее напоминает сказку про деревню, мальчика и волков..

чем все кончилось? съели мальчика... и деревню..

И вообще как-то странно слышать сваливание вины за спи***ные ключи из mod_ssl на пхп.. слишком уж труден сей путь..

megabrain
()

Параноики нужны, а особенно в теме безопасности. Да и пора забыть релегиозные войны на тему PHP,C++,Java etc.

anonymous
()
Ответ на: комментарий от anonymous

Ага, может ещё mod_c? :) Паскаль - компилируемый язык, не вижу проблем писать на нём модули (вроде же он линкуется с сишными либами без проблем, насколько я понимаю). Хотя конечно готовых инструментов нету.

Teak ★★★★★
()

Ай birdie, ай да молодец! Флейм на 10^3 постов обеспечен. Спасибо за чтиво на выходные :D

anonymous
()
Ответ на: комментарий от anonymous

>просто надо пых пых из явы пускать :)

Обязательно в 3х вложенных VMware, каждую из которых запускать в полнолуние, в присутствии 3х голых девственниц, сервер должен стоять на перехрестке 3х дорог.

anonymous
()
Ответ на: комментарий от anonymous

> PHP - это Perl для полных кретинов. Сколько можно возиться вокруг этого недоязыка?

Настоящий Тюринг-полный язык, между прочим. Интересен тот факт, что PHP является языком общего назначения (general purpose) и совершенно не заточен под написание под веб.

anonymous
()
Ответ на: комментарий от anonymous

>Интересен тот факт, что PHP является языком общего назначения (general purpose) и совершенно не заточен под написание под веб.

там наконец-то <? отменили ?>

anonymous
()
Ответ на: комментарий от anonymous

> Интересен тот факт, что PHP является языком общего назначения (general purpose) и совершенно не заточен под написание под веб.

При всей своей нелюбви к религиозным войнам, симпатии к Perl и ровному отношению к PHP, должен заметить, что этот факт интересен исключительно по той причине, что благодаря ему многие из присутствующих здесь ненавидят PHP. Ибо задумывался он как раз как язык для web, а попытки притянуть его в general purpose - зло, хотя бы потому, что для быстрого написания web-приложений (целевое назначение PHP) и быстрого написания других приложений необходимы различные навыки. А в результате мы имеем графическую оболочку к pptp, написанную на PHP...

e_val ★★★
()

Правильно, давайте хором ругать пых-пых. Его уже и так асп.нет теснит, так давайте уж его добъем, чтобы не мучался.

Пых-пых - г-но, но на нем написано много достаточно работающих вещей.

sv75 ★★★★★
()
Ответ на: комментарий от sv75

> Пых-пых - г-но, но на нем написано много достаточно работающих вещей.

Странная логика. Венда - тоже г-но, и под нее написано до#%$ работающих вещей.

Begemoth ★★★★★
()
Ответ на: комментарий от Begemoth

> Странная логика. Венда - тоже г-но, и под нее написано до#%$ работающих вещей.

Нормальная логика. 1) Кому не нравится винда - пишут аналогичный приложения не под винду. 2) Кому не нравится пых-пых - айда писать аналог какого-нить roundcube, php*admin, egroupware etc на <то-что-вам-нравится>, а не флеймить тут ;)

sv75 ★★★★★
()

Ну дырявость пыхпыха не мешает, например, в проектах интранет. Вот только знать бы еще, где эта граница безопасности проходит?

Одни утверждают что простецкая форма с отсылкой уже дырища, другие говорят, что всё это чушь и хрнеь. Кто прав?

manokur ★★
()
Ответ на: комментарий от sv75

>Пых-пых - г-но, но на нем написано много достаточно работающих вещей.

Меня тут нагибают поставить ExBB форум. Что про него межете сказать?
Стоит связываться, или спать спокойно не буду?

vada ★★★★★
()
Ответ на: комментарий от boombick

К несчастью, и у php5 есть определенные проблемы (или, скажем итак, особенности) с ДНК. Все они давно известны, обсуждалось сто раз.

sv75 ★★★★★
()
Ответ на: комментарий от geek

> что ты уже просто закрываешь глаза на архитектурную дырявость пыхпыха? :)

Что такое арзитектурная дырявость языка? Не реализации, а языка? Это всё равно, что говорить про архитектурную дырявость C, вспоминая многочисленные взломы через переполнение буффера. Но один пишут sendmail и bind, а другие - qmail и djbdns.

Я вот с интересом посматриваю на проект по реализации php на parrot. Правда, сам perl6 меня больше интересует, но как возможная среда для поддержки сущесвующего кода... ;-)

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> эх, вот бы mod_pascal...

Ну, мод не мод, но cgi систему на паскале видел. Правда не смотрел, что там внтури. ;-)

atrus ★★★★★
()
Ответ на: комментарий от vada

>Меня тут нагибают поставить ExBB форум. Что про него межете сказать?

Гуано. БД не использует, тормозилово редкостное...

boombick ★★★★★
()
Ответ на: комментарий от Begemoth

>Венда - тоже г-но, и под нее написано до#%$ работающих вещей

Си - тоже г*но, но на нём написана и венда, и линукс и много других вещей. Даже хороший инструмент не исправляет генетических дефектов.

frame ★★★
()
Ответ на: комментарий от anonymous

>Настоящий Тюринг-полный язык, между прочим.

Ну и что?

>Интересен тот факт, что PHP является языком общего назначения (general purpose)

4.2

> и совершенно не заточен под написание под веб.

истинная правда.

r ★★★★★
()
Ответ на: комментарий от boombick

>г-ном он становится в руках криворуких кодеров, коих, к сожалению, подавляющее большинство...

Мастер может и из говна конфетку вылепить - на то он и мастер. Но это не значит что исходный материал перестает быть говном.

r ★★★★★
()
Ответ на: комментарий от r

>>г-ном он становится в руках криворуких кодеров, коих, к сожалению, подавляющее большинство...

>Мастер может и из говна конфетку вылепить - на то он и мастер. Но это не значит что исходный материал перестает быть говном.

Если мастер г-но перемешает с сахаром и закатает в банку с надписью варенье и будет продавать, то г-на станет еще больше, а любой купивший и попробовавший сей продукт будет жить с одной целью: достать этого мастера.

soomrack ★★★★★
()
Ответ на: комментарий от boombick

boombick "Не, на пых подзабил уже.. щас на питоне пишу, на пыхе только на работе " - а слабо на работе писать на питоне, а вне работы заниматься более другими делами - вино, девки, семья, авто, самолеты?

drd ★★
()
Ответ на: комментарий от geek

С этого места поподробне, если можно =)

pento ★★★★★
()
Ответ на: комментарий от drd

>а слабо на работе писать на питоне, а вне работы заниматься более другими делами - вино, девки, семья, авто, самолеты?

Это где-ж в России на питоне дадут писать на работе? Только винда, только .net и только VB || C# . Надо радоваться что хотя-бы на РНР разрешают...

anonymous
()
Ответ на: комментарий от atrus

>Это всё равно, что говорить про архитектурную дырявость C, вспоминая многочисленные взломы через переполнение буффера.

И это правда

В том то и дело. PHP задумывался как язык для веба - то есть он должен быть заточен под веб. Если бы там падала типа библиотека построения диаграмм и тд - никто бы про него и слова не сказал - с кем не бывает. Но дыры в безопасности там типа SQL injection, неправильный эскейпинг и тд - то есть он не может гарантировано безопасно обработать параметры запроса, то есть лажает в той области под которую специализирован.

r ★★★★★
()
Ответ на: комментарий от r

Хмм, ещё раз ...уязвимости типа SQL inj, XSS и так далее - целиком вина девелоперов. На перле/питоне нет подобных дыр из-за языка?

pento ★★★★★
()
Ответ на: комментарий от r

И если что, в PHP есть механизмы, чтобы обезопасить от подобного рода проблем. Если девелопер ими не пользуется, ну так и флаг ему в руки...

pento ★★★★★
()
Ответ на: комментарий от drd

>а слабо на работе писать на питоне, а вне работы заниматься более другими делами - вино, девки, семья, авто, самолеты?

Не, не слабо.. Но мы вроде в свободной стране живем и каждый волен заниматься в свободное время чем угодно... И кто сказал, что у меня в жизни отсутствуют "вино, девки, семья, авто, самолеты"?

boombick ★★★★★
()
Ответ на: комментарий от anonymous

> там наконец-то <? отменили ?>

только педерасты вставляют код в шаблоны =)

anonymous
()
Ответ на: комментарий от boombick

> г-ном он становится в руках криворуких кодеров, коих, к сожалению, подавляющее большинство...

Бобрик, ПЫХ-ПЫХ сам по себе является поделием криворуких говно-кодеров. :-D

anonymous
()
Ответ на: комментарий от pento

>Хмм, ещё раз ...уязвимости типа SQL inj, XSS и так далее - целиком вина девелоперов

Все вина каких-нибудь девелоперов.

>На перле/питоне нет подобных дыр из-за языка?

Питон и перл это языки общего назначения и так разрабатывались. Исходный посыл PHP был темплейтный язык для динамического веба. Это его специализация по задумке. Во что он выродился сейчас - вопрос отдельный.

Дык вот если я беру специализированный для задачи инструмент - я ожидаю, что он мне поможет в этой задаче, избавит меня от "ручной работы" взяв ее на себя - это будет хороший инструмент для этой работы, это будет инструмент предназначенный для этой работы. А если я беру инструмент который не помогает мне в задаче для которой предназначен - это плохой инструмент.

Если я беру перфоратор - я ожидаю что он будет сверлить, а я буду только кнопку нажимать. А если мне его при этом поворачивать надо - то это хреновый инструмент для сверления. И не важно хороший я сверлильщик или плохой - инструмент должен облегчать жизнь в области под которую специально создан.

r ★★★★★
()
Ответ на: комментарий от anonymous

анонимусы как всегда блещут осведомлённостью =)

pento ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.