LINUX.ORG.RU

В мае будет проведен месяц безопасности PHP

 , , , ,


0

0

Стефан Эссер (Stefan Esser), создатель проекта Hardened-PHP, объявил о проведении в мае инициативы по увеличению безопасности интерпретатора PHP. Мероприятие повторяет по своей сути проведенную в марте 2007 года акцию «Месяц ошибок в PHP», в рамках которой в PHP было обнаружено более 40 проблем безопасности.

В отличие от прошлой инициативы, в которой участвовал только Стефан, к новой акции планируется привлечь представителей сообщества разработчиков. Нынешнее мероприятие будет оформлено в виде конкурса по поиску новых уязвимостей и связанных с безопасностью ошибок в интерпретаторе PHP и в популярных PHP-расширениях. На конкурс также принимаются статьи с описанием разбора известных уязвимостей в интерпретаторе PHP, с детальной демонстрацией реальных атак, с обдумыванием теоретических проблем безопасности или с практическими руководствами по безопасному программированию. Авторы имеющих отношение к безопасности PHP утилит и библиотек тоже могут выставить свои программы на конкурс.

Работы принимаются до 11 апреля. Победители будут определены экспертным советом и получат призы. Участники конкурса занявшие с первого по четвертое место получат возможность бесплатно посетить конференцию SyScan, кроме того в зависимости от занятого места им будет предоставлено денежное вознаграждение: за первое место - 1000 евро, второе - 750 евро, третье - 500 евро, четвертое - 250 евро. Занявшие с 5 и 6 место получат лицензию на ПО CodeScan PHP, а с 7 по 16 место - 65-долларовые купоны для интернет-магазина Amazon.

Победители будут объявлены 1 мая, в дальнейшем весь май, день за днем, работы участников конкурса и информация об обнаруженных новых уязвимостях будет публиковаться на сайте php-security.org.

Текст объявления

Сайт проекта

>>> Подробности

★★★★★

Проверено: boombick ()
Ответ на: комментарий от KRoN73

> Но это не говорит о том, что Java способствует SQL-уязвимостям :)

PHP как язык им тоже не способствуют. Просто некоторые настройки это поощряют.

sjinks ★★★
()
Ответ на: комментарий от wfrr

>И еще куча приятных неожиданностей 8)

Угу. Для меня в JBForth в своё время стало неожиданность то, что циклы DO .. LOOP работали только до 127 :)

KRoN73 ★★★★★
()
Ответ на: комментарий от sjinks

В 5.3.1 исправлено.

По крайней мере, тест, который у меня валился на аналогичной фигне, в 5.3.1 проходит.

anonymous
()
Ответ на: комментарий от sjinks

>> Просто некоторые настройки это поощряют.

php сам себя загнал в тупик ранними дурацкими решениями, которые для BC приходится оставлять по крайней мере до 6.0.

при том в современных инкарнациях (php 5.2+) в нем есть все средства для программиста (не быдлокодера) для написания нормального кода (все практики тут напрямую из джавы).

anonymous
()
Ответ на: комментарий от anonymous

> В 5.3.1 исправлено.

Если я не ошибаюсь, исправили в 5.2.11 или где-то так. В дотдебовской сборке PHP баг был исправлен раньше, так что точну версию не скажу.

sjinks ★★★
()
Ответ на: комментарий от anonymous

> при том в современных инкарнациях (php 5.2+)

Так-то оно так, но некоторые хостеры (не буду показывать пальцем) до сих пор сидят на хладном трупе PHP 4. Дофига PHP 5.1.x. Поэтому многие проекты (что далеко ходить, тот же WordPress) вынуждены поддерживать этих мамонтов.

В результате вместо того, чтобы реализовывать что-то красивое и нормальное, приходится городить всякие уродские костыли :-(

А вообще если смотреть на код Zend Engine (приходится писать иногда расширения для PHP/Zend), то он шедевр еще тот, и многие его уродства тянутся со времён десятилетней давности. И потенциальных недокументированных особенностей/багов там хватает.

sjinks ★★★
()
Ответ на: комментарий от sjinks

Да, в ветке 5.2 тоже исправили в то же время.

Я на 5.3 уже год все делаю. Неймспейсы и замыкания хоть и через задницу сделанные но все равно лучше чем ничего.

anonymous
()
Ответ на: комментарий от sjinks

>>Так-то оно так, но некоторые хостеры (не буду показывать пальцем) до сих пор сидят на хладном трупе PHP 4. Дофига PHP 5.1.x. Поэтому многие проекты (что далеко ходить, тот же WordPress) вынуждены поддерживать этих мамонтов.

Слава яйцам, я уже много лет не пишу софт для массового потребления или нищих заказчиков, не готовых оплатить даже задрипанный vds; а на свои сервера можно поставить что угодно.

anonymous
()
Ответ на: комментарий от sjinks

>>А вообще если смотреть на код Zend Engine (приходится писать иногда расширения для PHP/Zend), то он шедевр еще тот, и многие его уродства тянутся со времён десятилетней давности. И потенциальных недокументированных особенностей/багов там хватает.

Ох это да. Особо доставляет работа с исключениями при подключенном SPL и без. :) Я то в этом говне опытный ковыряльщик, а коллега чуть об стену не стучался - почему на другом сервере сегфолтится. :)

Но жить можно. По крайней мере спокойно делается то, что работает и вполне стабильно. А платформы/языка своей мечты можно ждать до пенсии ;)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.