URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36247
[ Назад ]

Исходное сообщение
"OpenNews: Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"

Отправлено opennews , 14-Дек-06 22:49 
Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил (http://www.heise-security.co.uk/news/82500) об уходе из  PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.  


Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.


Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публично опубликовать информацию. Теперь  же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.


В заключение, Ilia Alshanetsky опубликовал (http://ilia.ws/archives/149-mail-logging-for-PHP.html) просто необходимый для систем массового хостинга патч к mod_php. Патч позволяет вести полный лог отправки сообщений по электронной почте через функцию mail(), а также включать в тело письма заголовок с уточнением из какого именно скрипта и от какого пользователя осуществлена отправка.

URL: http://developers.slashdot.org/article.pl?sid=06/12/14/0410240
Новость: http://www.opennet.me/opennews/art.shtml?num=9234


Содержание

Сообщения в этом обсуждении
"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено smb , 14-Дек-06 22:49 
Мда
Интересно, что будет дальше?
Тенденция-с, господа..

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено пИнгвин , 14-Дек-06 22:55 
А ничего, нормально, линию поведения (публикацию инф-ии об ошибках) г-н Stefan Esser выбрал правильную на мой взгляд.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Mikk , 14-Дек-06 23:28 
Да, замечательно. Stefan Esser будет публиковать уязвимости, а в комментариях будут публиковаться экспоиты. Слишком кардинальные меры, мне думается.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Halyava , 15-Дек-06 09:02 
ТОгда может и по отношению к ядру так же сделаем? Самый правильный шаг для OSF ибо все разработчики видят это и не будут писать подобный код!

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено nuclight , 15-Дек-06 00:40 
Да, дождались. Отдельные люди говорили, что PHP крив до безобразия, не верили - так теперь все могут наблюдать уже воочию. Stefan Esser молодец, так держать. Падающего - толкни (с).

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Квагга , 15-Дек-06 07:27 
>Да, дождались. Отдельные люди говорили, что PHP крив до безобразия, не верили
>- так теперь все могут наблюдать уже воочию. Stefan Esser молодец,
>так держать. Падающего - толкни (с).

Ага. Проекты с сотнями инсталляций! Толкните 100 млн. иснталляций PHP!

Только не пукните.



"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено kron , 15-Дек-06 01:41 
прощай, безобразно-уродливый пых

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено tug , 15-Дек-06 08:37 
PHP - убожесто как и все web языки, но больше всего в данной ситуации он напоминает огромный боинг при аварийной посадке, т.е. проекты на нём есть и будут, даже если при движении у него постепенно отваливаются шасси и крылья. Ну и конечно это отличное решение для тех, кому нужен быстрый результат для получения денег (любые средние web студии), а качество... качество естественно в asshole.

Хочется надеяться, что придёт новая платформа для веб проектов (даже если ява станет доступна на массовых хостингах), которая потеснит быстрые решения вроде php и всяких там ruby, но пока в это верится с таким же трудом как и в то, что *nix это ОС для конечного пользователя.


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Некто , 15-Дек-06 09:08 
вы руби-то видели? а RoR? :)
что-то мне подсказывает, что даже когда осуществится ваше "придёт новая платформа для веб проектов (даже если ява станет доступна на массовых хостингах)", то вы ее точно так же в глаза не видя будете хаять на форумах

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено tug , 16-Дек-06 06:14 
Видел. Тоже видел, прикольно. Я даже PoR видел, а Вы? =)
http://www.megginson.com/blogs/quoderat/archives/2005/06/11/...

Каждый инструмент хорош для своих целей, но то, для чего сейчас пытаются приспособить скриптовые языки, иначе как извращением не назовёшь, это вроде как строить многоэтажный дом из бревен.

Все жители деревни издавна умеют строить дома из бревен. Приезжает заказчик из города.
- вау классные дома, а 30 этажку мне сможете построить?
- не вопрос, но мы умеем только из бревен.
- круто, брёвна дешевые, стройте.

Интересно, почему же многоэтажки из бревен так просто рушатся? Может потому что бревна как материал для многоэтажек не канают?

И вообще зря Вы так, я не жду прихода новой мифической платформы, я бы с удовольствием писал на Яве, но хостинговые решения для неё приближаются по цене к VPS, что для большинства мелких клиентов просто расточительство. Вот и пишем на PHP, где площадка стоит 100 рублей в месяц, а написать вывод из базы в таблицу может каждый дизайнер. А потом заказчик просит дизайнера построить второй этаж, третий, четвертый и вот дизайнер уже стал программистом, ато он же 5 этажку из бревен построил. Потом он эти четыре этажа начал всем подряд впаривать. Ну и т.д.

А Вы говорите "быдлокодеры". Дилетантов хватает в любом деле/языке/конторе.

Резюме. PHP простой и хороший скриптовый язык, но пожалуйста не пишите на нём framework'и и enterprise проекты, пожалуйста...


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 25-Дек-06 22:20 
> Резюме. PHP простой и хороший скриптовый язык, но пожалуйста не пишите на нём framework'и и enterprise проекты, пожалуйста...
Угу, мля, а чем оно хуже то?Бревна, бревна... на сях написаны целые операционки, и ничего, работает, каши не просит.Может, дело то не в языке а в тех кто его использует?

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Pilat , 01-Мрт-10 14:33 
>Угу, мля, а чем оно хуже то?Бревна, бревна... на сях написаны целые
>операционки, и ничего, работает, каши не просит.Может, дело то не в
>языке а в тех кто его использует?

Не хочу шокировать уважаемого безымянного, но С был создан именно для написания операционок, и конкретно для написания кода юникса.


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 15-Дек-06 16:37 
аха-ха, насмешил...

новая платформа не приходит из неоткуда, это я вам по секрету скажу...

реальный выбор для меня сейчас это либо RoR, либо решения на питоне типа Django... либо Java где туева хуча разных библиотек и фреймворков и из-за этого сложно решить, что использовать...

а вы ждите, ждите...


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 25-Дек-06 22:25 
Самое прикольное что если те кто юзал php пойдут юзать ROR или Java, дыр будет ровно столько же.Дырявых систем на жабе - как г*вна, ибо много дятлов налетело кодить системы для банков и прочее.Итого встречаются системы с совершенно brain damaged логикой работы которые даже хакать не надо - просто бери и имей их на ровном месте потому что те кто их писали головой думать не умели принципиально.Накодили - работает.Как, чего, насколько логика работы нормальная, а дыр нет - да никого не ... - а в итоге получается что у больших контор с програмерами свято верящими что язык X это круто а потому думать не требуется - глюкавые и дырявые порталы.

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено sa10 , 15-Дек-06 10:08 
ИМХО все это PR конкретной персоны.
Не осуждаю, нельзя не замечать такий людей.
Но PHP такой же дырявый как и любой другой софт.
Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то  только потому что PHP чаще используется.
Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Oxyum , 15-Дек-06 10:56 
А вы сами-то ставили свой php_hardened?
Я вот ставил... И меня не прикололо самостоятельно переписывать кривой софт! :(

Так что это не панацея. Это можно поставить себе на один сайт, но на хостинг это не воткнешь - все клиенты разбегутся...

PS: У меня PHP-софт работает под suhosin... там где я не смог от него избавиться...


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено sa10 , 15-Дек-06 11:05 
СтоИт больше года, но хостингом я не промышляю.
Для клиентов правильнее виртуалок наставить где можно, пусть сами ставят что хотят.
Проблемы клиентов все равно не разрести.
Иногда приходится граблями получить по носу, но это бывает полезно :)

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Demimurych , 15-Дек-06 10:39 
Да как сказать. По случаю пришлось ковырять e107. Такая CMS бесплатная. Налось пара серьезных проблем. Повесил в баг трак. Висели две недели без отзывов. Повесил javascript на заглавную - alert(varning vulnerability.) исправили за час.  Так что я думаю он прав.

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Аноним , 15-Дек-06 14:37 
PHP не может умереть!куда деваться сотням голодных быдлокодеров? Но нет, товарищ который говорил про боинг был прав,как писале на пыхе так и будут, а безопасность... х%й с ней  - главное бапки, потрбительская психология дает о себе знать.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Demimurych , 15-Дек-06 14:55 
Колличество так иди иначе перейдет в качество. Уже сейчас я видел в тендерах на сборку сайтов пункты об ответственности за дискредитацию.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено logan , 15-Дек-06 16:40 
>PHP не может умереть!куда деваться сотням голодных быдлокодеров? Но нет, товарищ который
>говорил про боинг был прав,как писале на пыхе так и будут,
>а безопасность... х%й с ней  - главное бапки, потрбительская психология
>дает о себе знать.


Эх, где же ты, мифическая альтернатива PHP? Неужели ASP от micro$oft? Не верю! :)


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено michelle , 15-Дек-06 17:58 
Парниша - иди разглагольствовать насчет быдлокодеров на ЛОР!
Быдлокодеры есть с ЛЮБОМ языке!
Даже на любимой всеми ЛОРовцами Java!!

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 15-Дек-06 19:15 
>Парниша - иди разглагольствовать насчет быдлокодеров на ЛОР!
>Быдлокодеры есть с ЛЮБОМ языке!
>Даже на любимой всеми ЛОРовцами Java!!

Товарисчь, успокойтесь, берегите нервы, я не собираюсь разводить холи вар изза того что кто-то не умеет контролировать емоции. а вобще пейте валерьянку, помогае. Если бы вы себя не считали быдлокодером то и не восприняли бы на свой счет :) я против РНР ничего не имею так как имею счастье с ним работать, а вот насичет быдлокодеров -вы же не станете отрицать что 90% процетов написаного на РНР кода ето просто поделки?


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено michelle , 15-Дек-06 22:37 
Я сам работаю с PHP  уже лет 5!
Просто надоело слышать быдлокодер по отношению только к программистам, пишущем на PHP!

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 15-Дек-06 23:57 
> Я сам работаю с PHP  уже лет 5!
>Просто надоело слышать быдлокодер по отношению только к программистам, пишущем на PHP!

Дык епт, товарищ,быдлокодер ето состояние ума а не направление/ЯП/технология :) пхп с кучей недостатков, как впрочем и все остальные продукты, обидно только что товаризчи которые делають кладут на секурность, потому и ругають его нохорошими словами... есть за что..


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено michelle , 16-Дек-06 11:38 
А вот с этими словами я 1000% согласен!!

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено leon55 , 15-Дек-06 16:20 
пишите на перле, господа ,))

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Dvorkin , 15-Дек-06 16:47 
вот это asshole точно :)

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено www.andr.ru , 15-Дек-06 18:30 
зачем вообще изобретать велосипед, если есть CGI?
пиши на чём угодно, хоть на ассемблере.
геморрой сами себе выдумали.

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено HardKiller , 15-Дек-06 19:23 
CMS на ассемблере это ЛОЛ. надо будет
панкам знакомым рассказать.

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Oles , 15-Дек-06 20:00 
Реально никакой баги не опубликовали а крика всё равно что конец света начал наступать. Токма не пойму откуда столько ненависти у людей к продукту который они не используют? Нравится питон или руби - дык вперёд, используй. А по секрету я скажу что "90%" написаных на чём угодно программ - убожество. Потому что "быдлокодеров" такой же процент. Таким был и будет всегда.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено uF0 , 15-Дек-06 20:53 
> А по секрету я скажу что "90%" написаных на чём угодно программ - убожество.

Потому что 85% это закрытый софт, за который тебя не будут публично высмеивать и потому-что он именно так и делается ...


"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Аноним , 15-Дек-06 22:24 
Ну ушел. что изменилось? ну будут эксплоиты..значить придеться занятся безопасностью локлаьно...насчет кривости...батенька, а вы бейсик или дельфи к примеру видели?
тем более пхп - многоплатформенный язык, я думаю он просуществует еще долго, конкрентов у него нет( перл не являеться, он намного сложнее)

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Аноним , 16-Дек-06 13:32 
Вот я пишу на бумаге (ручкой иногда карандашом) все нормально ни кому пока не удалось по сети взломать. Правда переполнения стека иногда бывает. Но я просто встаю иду отливаю и стек пуст до следующего дека литра пива. А РНР это че такой сорт бумаги... и вообще хгдн это я???

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Анонимус , 16-Дек-06 15:03 
Хм... какие вы здесь)
На мой лично взгляд  проблема заключается даже не в криворукости команд разработчиков, а в том кто пишут на них.
Т.к. намой взгляд в таких проектах без ошибок просто не возможно, багги везде есь и будут. Так же на мой взгляд пыхпых не чем не хуже  других интерпретаторов.  
(Далее идёт текст от 1-ого лица,т.к. проще писать) То что он там дырявый и т.п. как то это не должно заботить, это проблема хостера. Мои скрипты проверяют все входящие данные, и в чём криворукость PHP? Да я согласен, может функция  ге-нить, чотнить не о возвращает,не доглядели разрабы. Тогда не используй её. Я клоню к тому, что безопасность пыхпыха зачастую зависит от юзеров, которые пишут на нём, и в меньшей степени от команды разрабов. Я не  защищую разработчиков, я так же считаю, что им следовало бы начать с исправления (и обката) существующих версий, да и справлять ошибки по быстрее. А огромный багтракер обысная вещь для большого проекта.

ЗЫ Я давай-те не забывать, что это Free, а следовательно и со всеми выходящими последствиями,я так думаю, что называть не хорошими словами, которые пишут нао определеном языке, глупо.
ЗЫ2 Давайте так же не забывать, что багги они есть, но такие сайты, как overclockers.ru, ag.ru используют форум написанный на PHP(phpbb).


"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Roma , 17-Дек-06 00:59 
Я поражаюсь - "пишите на cgi :) во ламер а PHP что изпользует по твоему ? "
Болшестново багов - взломов иза кривости кода, самих
же программистов - причом язык программирования любой!.
Могу поспорить с кем угодно что можно написать код который будет взломан за 3 сек на любом языке php c#
java .... В большенстве такой код и наблюдаем.

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Аноним , 17-Дек-06 13:47 
>Могу поспорить с кем угодно что можно написать код который будет взломан
>за 3 сек на любом языке php c#
>java .... В большенстве такой код и наблюдаем.

Я написал на своей страничке Hello World. Взломай меня.
:))))


"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено InkviZitor , 19-Дек-06 12:29 
А что вы все так взъелись на бедный PHP, с первого взгляда он ничотак.
Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP!

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено Ананимус , 19-Дек-06 13:58 
>А что вы все так взъелись на бедный PHP, с первого взгляда
>он ничотак.
>Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP!
>

конечно УСАС(Убей сибя ап стену). Новички=быдлокодеры. Курите маны сначала...от корки до корки, 24 часа в сутки, 7 дней в неделю...


"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено HardKiller , 20-Дек-06 01:54 
господа, забываете что научиться программировать
можно только постоянно как вы выражаетесь
"быдлокодя". Еще никто первый раз взяв в руки
гитару не сыграл "Trilogy Suite 5" Мальмстина.
практика. а быдло - это те кто учиться не хотят.

"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Roma , 27-Дек-06 00:38 
Хотелось бы спросить в крутых программеров какой язык безопасен ?
почему ламают виндузу написанную на с++, не ужели в жабы нет проблем с безопастносью ?

"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено SmileSRG , 24-Фев-07 16:26 
>Хотелось бы спросить в крутых программеров какой язык безопасен ?
>почему ламают виндузу написанную на с++, не ужели в жабы нет проблем
>с безопастносью ?


Проблемы с безопасностью, ИМХО, есть везде.
Попробуй побороздить просторы Интернета, поискать язык ADA

или зайти на http://faqs.org.ru, там точно есть FAQ по ADA.


"Эксперт по безопасности покидает команду PHP. Патчи для конт..."
Отправлено SmileSRG , 24-Фев-07 16:59 
>>Хотелось бы спросить в крутых программеров какой язык безопасен ?
>>почему ламают виндузу написанную на с++, не ужели в жабы нет проблем
>>с безопастносью ?
>
>
>Проблемы с безопасностью, ИМХО, есть везде.
>Попробуй побороздить просторы Интернета, поискать язык ADA
>
>или зайти на http://faqs.org.ru, там точно есть FAQ по ADA.

http://faqs.org.ru/progr/other_l/adafaq.htm

Ada -- это доведенный до логического завеpшения ( на данном этапе pазвития _науки_ пpогpаммиpования ) Pascal. Ada -- унивеpсальный язык пpогpаммиpования и мощнейшее сpедство для software engineering. В pавной степени пpигодна для написания "зубочисток" из 50 стpок на один-два пpогона и для огpомных особо надежных систем pеального вpемени. Жестко опpеделена стандаpтом языка. В язык встpоены сpедства паpаллельного пpогpаммиpования, поддеpжка pазноязыковых модулей, обpаботка исключительный ситуаций.

Разговоpы о ее чpезмеpной сложности -- бpед, вызванный тем, что она опеpедила свое вpемя лет этак 6..10. Мощный инстpумент не может быть пpостым -- "Дубли у нас пpостые" ( (с) "Понедельник...", Стpугацкие ), но и слишком уж сложной я ее назвать не могу.

Ada'е пpисущи стpогость, логичность, оpтогональность, симметpичность. Она по-хоpошему консеpвативна, несмотpя на то, что в нее были введены pеволюционные концепции, не понятые и не пpинятые сеpыми fortran-кодеpами начала '80-ых годов, чем и объясняется ее сpавнительно малое pаспpостpанение.

Пеpвый стандаpт вышел в '83, в '95 вышел втоpой стандаpт, pасшиpивший и симметpизовавший язык. Для Ada'ы хаpактеpно очень очень жесткое следование стандаpту, что делает пpогpаммы на ней сpавнительно легко пеpеносимыми с платфоpмы на платфоpму.

!) Аналогии:

Ada -- это Паpфенон сpеди языков пpогpаммиpования, она величественна, изящна, стpога и пpекpасна.

Если считать, что Pascal это МиГ-21,
    то Modula-2 это ( pанние веpсии ) МиГ-29 и
               ( нынешнее состояние ) МиГ-33,
    а Ada'83 -- Су-27, и
      Ada'95 -- Су-37,
    и, пpодолжая аналогию,
      C -- F-104,
      C++ -- F-117 ( much noise about nothing |) ).


"Эксперт по безопасности покидает команду PHP. Патчи для контроля почты"
Отправлено Аноним , 13-Фев-07 00:00 
О языках спорите... По-русски научитесь сначала :)