Энтони Феррара (Anthony Ferrara), работающий в Google, проанализировал (http://blog.ircmaxell.com/2014/12/php-install-statistics.html) версии PHP на публично доступных серверах и пришёл к выводу, что безопасными являются лишь 25.94% установок, в которых используются свежие и поддерживаемые пакеты с PHP, в то время как в 74.06% случаев используются устаревшие версии, которые могут содержать уязвимости.  

Отмечается, что полученные показатели являются оптимистичными, в то время как реально процент уязвимых систем может быть больше из-за того, что к безопасным отнесены не только актуальные выпуски 5.6.4,  5.5.20 и 5.4.36, но и все установки PHP, работающие в дистрибутивах Linux, не прекративших выпуск обновлений. Например, выпуск PHP 5.3.3 признан безопасным, так как он используется в пакетах CentOS 6.6 и Debian 6, для которых ещё выпускаются обновления. При этом не учитываются ситуации, когда обновления пакета могут быть не установлены или PHP собран из исходных текстов.

Интересно, что для других языков программирования, CMS и серверных приложений статистика выглядит (https://docs.google.com/spreadsheets/d/1nIknWM8no-3oyd85wbnF...) намного лучше, например, безопасными признаны 82.27% установок Perl, 77.59% - Python, 64.48% - Nginx, 61.96% - Apache, 60.45% - WordPress, 45.23% - Drupal.

URL: http://blog.ircmaxell.com/2014/12/php-install-statistics.html
Новость: http://www.opennet.me/opennews/art.shtml?num=41374

• Около 74% установок PHP содержат проблемы с безопасностью,Sluggard, 15:05 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,омномномнимус, 15:24 , 31-Дек-14
    • Около 74% установок PHP содержат проблемы с безопасностью,Sluggard, 15:29 , 31-Дек-14
      • Около 74% установок PHP содержат проблемы с безопасностью,омномномнимус, 16:18 , 31-Дек-14
        • Около 74% установок PHP содержат проблемы с безопасностью,Sluggard, 16:57 , 31-Дек-14
        • Около 74% установок PHP содержат проблемы с безопасностью,электронщег, 19:30 , 31-Дек-14
          • Около 74% установок PHP содержат проблемы с безопасностью,Sluggard, 19:35 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,Rodegast, 15:46 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 18:26 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 15:47 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 15:52 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,re, 17:19 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 17:37 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 17:55 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 18:23 , 31-Дек-14
    • Около 74% установок PHP содержат проблемы с безопасностью,all_glory_to_the_hypnotoad, 19:57 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Grammar_Nazi, 11:46 , 01-Янв-15
    • Около 74% установок PHP содержат проблемы с безопасностью,True GN, 19:12 , 01-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,cmp, 18:05 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,all_glory_to_the_hypnotoad, 20:06 , 31-Дек-14
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 22:34 , 01-Янв-15
    • Около 74% установок PHP содержат проблемы с безопасностью,Другой аноним, 23:55 , 04-Янв-15
  • Около 74% установок PHP содержат проблемы с безопасностью,XoRe, 21:07 , 05-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,YetAnotherOnanym, 18:24 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,all_glory_to_the_hypnotoad, 19:47 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,all_glory_to_the_hypnotoad, 19:49 , 31-Дек-14
• Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 06:34 , 01-Янв-15
  • Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 20:54 , 01-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 04:37 , 02-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,sergey_klay, 08:00 , 02-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,CSRedRat, 14:52 , 04-Янв-15
• Около 74% установок PHP содержат проблемы с безопасностью,Аноним, 14:57 , 08-Янв-15

Про Java и RoR ничего нет почему-то.

Где ты видел бложеки на яве?

Где ты в новости видел, что речь о бложеках? А на Java ЛОР написан. )

"бложеки" -- это было иносказательно. Имелись в виду не особо сложные сайты и пр.

А на лоре периодически выпадают NullPointerException и чо? :-)

В новости и не о «не особо сложных сайтах».
А на ЛОРе много чего выпадает. И он сам порой. )

Вот уже десятый год подряд минимум 3-5 раз в сутки захожу на ЛОР, ни единого раза не видел никаких "выпадений". У нас разные ЛОРы? :)

Почитай архивы l-o-r и lor-source.

> 60.45% - WordPress, 45.23% - Drupal

Разве оно не на пыхе?

Речь о версиях самих фреймворков, не учитывая версию пыха и оси.

Интересно, около 26% безопасных установок ПХП, а Вордпресс и Друпал, которые на нем же, аж 60% и 45% ?

тут, наверное, фишка в самом пехопе-поделии и в способе его установки, получается, что четвёртый вротпресс установленный на шестую центось из её родных репов безопасен, а перделки хомяков на пехопешесть — опасны

Единственное на чем бы начал из веба кодить на данный момент это go, хотя и то пузырь рано или поздно лопнет но на данный момент хомякфренди лучше имха нет, по ощущениям ведь нет дырка при всем уважении, вообщем с наступающим #opennet даешь нормальные картинки из постов в репосты в новом году а не логотип этого прославленного рессурса при всем уважении.

Как господь молвил.

Похоже, уже начал встречать НГ :)

Rust красивее, как мне кажется,

оно точно не для веба. По крайней мере типичные веб-макаки не осилят на нём херачить код.

"в общем", ёпта

> "в общем", ёпта

«В общем», ёпта.

а нжинкс нынче язык программирования?

как можно противопоставлять вордпресс нжинкс и пхп, если это ингридиенты одного бутерброда, почему ссл не упомянут, получается насобирали циферок - вот они, "они не точные, и непонятно как друг на друга завязаны, но мы работаем в гугле и точно знаем, что пхп отстой!", отличная статистика, дело чурова живет

> вот они, "они не точные, и непонятно как друг на друга завязаны, но мы работаем в гугле и точно знаем, что пхп отстой!"

Чуваку хочень хотелось написать какой-нибудь псто в своём журнале, вот он и состряпал его из чего было. Прямо таки хозяюшка рукодельница.

А другому чуваку очень захотелось что-то перепостить на опеннет и он как-то узнал что первый чувак имеет какое-то отношение к гуглу - ну а почему бы этот факт не засунуть в текст новости? Так же она громче звучит.

Ну а что пхп лютый кусок гогна и так все знают, можно было бы лишний раз не озвучивать очевидный факт.

Ну конфиг nginx вполне себе язык программирования - правда декларативный. Туда ходи сюда не ходи. Вообще не важно что везде где есть варианты и это в виде текста PHP, HTML, JS, XAML,SQL это языки программирования только программы там специфичные. Для "различных" компиляторов.

Аноним, ты идиот. HTML и иже с ним - языки разметки, а не программирования.

Давно хотел перейти с php на drupal.
Заодно уйду с nginx и apache.

> безопасными признаны 82.27% установок Perl

Вечно эти прокуренные старпёры со своим перлом нормальным людям статистику портят!

> то безопасными являются лишь 25.94% установок, в которых используются свежие и поддерживаемые пакеты с PHP

Так и новые PHP пакеты когда-то становятся старыми с уязвимостями, этот замкнутый круг никак не исправить, пых обречён благодаря своим тупым апологетам.

> безопасными признаны 82.27% установок Perl,

ну да, неуловимый джо такой неуловимый. Нужно же ещё оценивать уязвимость самого кода, перл в этом плане далеко от пыха не уползёт.

100% ложь.

Куча дистров имеют "старые" "небезопасные" версии PHP, которые пропатчены на предмет уязвимостей.

"Исследователей" на помойку.

// b.

> 100% ложь.
> Куча дистров имеют "старые" "небезопасные" версии PHP, которые пропатчены на предмет уязвимостей.

Специально для таких как вы в новости пример разжеван "....в которых используются свежие и _поддерживаемые_ пакеты с PHP ...... к безопасным отнесены не только актуальные выпуски 5.6.4, 5.5.20 и 5.4.36, но и все версии PHP, поставляемые в дистрибутивах Linux, не прекративших выпуск обновлений. Например, выпуск PHP 5.3.3 признан безопасным, так как он используется в пакетах CentOS 6.6 и Debian 6, для которых ещё выпускаются обновления."

* Protects the internal memory manager against bufferoverflows with Canary and SafeUnlink Protection
* Protects Destructors of Zend Hashtables
* Protects Destructors of Zend Linked-Lists
* Protects the PHP core and extensions against format string vulnerabilities
* Protects against errors in certain libc realpath() implementations
* Protection Simulation mode :!:
* Adds the functions sha256() and sha256_file() to the PHP core
* Adds support for CRYPT_BLOWFISH to crypt() on all platforms
* Transparent protection of open phpinfo() pages
* EXPERIMENTAL SQL database user protection
etc..

http://www.suhosin.org/stories/feature-list.html

Это всё говорит только об одном — чаще обновляйтесь

Drupal меньше 50% и меньше Wordpress - теперь-то всё понятно и на своих местах.

> Интересно, что для других языков программирования, CMS и серверных приложений статистика выглядит намного лучше, например, безопасными признаны 82.27% установок Perl, 77.59% - Python, 64.48% - Nginx, 61.96% - Apache, 60.45% - WordPress, 45.23% - Drupal.

Nginx и Apache - не являются языками программирования!
WordPress и Drupal - являются CMS, и написаны на РНР!

Новость похожа на вброс информации от "Троля"
С незапамятных времен известно, что в РНР периодически находят уязвимости, которые затем исправляют. А вот что ВСЕ! хостинг-центры используют принципиально уязвимые сервисы - это КОНСТАНТА и уже несколько лет!