Международная организация Web Application Security Consortium опубликовала (http://projects.webappsec.org/Web-Application-Security-Stati...) (перевод на русский язык (http://www.securitylab.ru/analytics/386759.php)) статистику уязвимостей WEB-приложений за прошедший год. Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.
Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска. Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и...URL: http://www.securitylab.ru/analytics/386759.php
Новость: http://www.opennet.me/opennews/art.shtml?num=23915
Web катится в качестве кода как и весь другой разрабатываемый софт: "надо быстренько сделать, чтобы выглядело, будто работает, а когда время будет, поправлю". Ну а времени нет никогда, то работа, то БОР.
один из модераторов ну просто ярый защитник пхп, все посты киляет...
>один из модераторов ну просто ярый защитник пхп, все посты киляет...Как не удалить идеально нарушающие все правила сообщения, представляющие смесь бульварной лексики, попытки разжигания флейма и необоснованных утверждений.
PS. http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=he...
имхо не требует аргументации, да и так всем понятно, что пхп очень простой язык, осваивается буквально за день, что порождает толпу кодеров севших писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех или иных функций и настроек горяче любимого ими пхп, что приводит, как по отдельности, так и в совокупности к брешам в безопасности. ситуацию осложняет еще и кривость рук самих разработчиков пхп, и еще ладно когда их кривые руки и недостаточное тестирование приводят к тому, что какие-то функции начинают работать странным образом, так ведь бывает ломают сайты из-за их ошибок, сам напарывался на такой (в то время совершенно новый и еще не известный) косяк в пхп, благо хоть по баг репорту закрыли недели через две, но что мне сказать владельцу сайта с похеренными данными и бекапом недельной давности, как объяснить, что это не мои кривые ручки как админа, и даже не кривые руки разработчика его сайта, а косяк в неправильно выбранном инструменте разработчика? да ошибки есть везде, но столько, сколько их в пхп... просто ужас.
>имхо не требует аргументации, да и так всем понятно, что пхп очень
>простой язык, осваивается буквально за день, что порождает толпу кодеров севших
>писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то
>достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех
>или иных функций и настроек горяче любимого ими пхпИз Вашего утверждения следует, что простой в изучении язык плох именно своей простотой? Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?
>Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой?да, если он используется в продакшне и при этом не предусматривает защиту самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее известно что он либо себя покалечит либо кого-нибудь другого?
>Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?
плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить пдд, общий принцип работы автомобиля и покататься на полигоне с десяток часов.
>>Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой?
>
>да, если он используется в продакшне и при этом не предусматривает защиту
>самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее
>известно что он либо себя покалечит либо кого-нибудь другого?
>Получается, язык-то сам по себе неплох. Его надо бы усложнить - добавить в синтаксис что-нибудь от Perl'a , например, поубивать форумы с обсуждениями на тему программирования на PHP и т.д. Другими словами: программист не может начать что-то писать не проштудировав как следует теорию. У каждого программиста должен быть нимб над головой. Если я правильно понял.
Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"?>>Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?
>
>плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить
>пдд, общий принцип работы автомобиля и покататься на полигоне с десяток
>часов.Если человек садится за руль не зная ПДД, то он может покалечить себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)
>Другими словами: программист не
>может начать что-то писать не проштудировав как следует теорию. У каждого
>программиста должен быть нимб над головой. Если я правильно понял.
>Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"?да, либо ты знаешь, умеешь и несешь ответственность за свой код, либо идешь в подмастерья, твой код будут проверять и за твой код кто-то там будет нести ответственность.
>Если человек садится за руль не зная ПДД, то он может покалечить
>себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)есть такое понятие как: деньги. плохой программист может очень сильно кого-то подставить. цепочку событий из-за кривого когда можете сами развернуть, пофантазируйте. я бы даже сказал что отдельно взятый дурак за рулем иной раз менее страшен чем халатный программист.
помните историю LXLabs и vaserv.com?
>да, либо ты знаешь, умеешь и несешь ответственность за свой код, либо
>идешь в подмастерья, твой код будут проверять и за твой код
>кто-то там будет нести ответственность.Моя мысль такова: PHP действительно легкий в изучении язык. Я считаю это его достоинство. Да, действительно порог вхождения в него очень низкий. Но разве это недостаток? Наверное, не поддается счету число людей, которые отвернулись от программирования, начав изучать это ремесло, например, с Perl'a (ничего личного к перлу!!!)
>>Если человек садится за руль не зная ПДД, то он может покалечить
>>себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)
>
>есть такое понятие как: деньги. плохой программист может очень сильно кого-то подставить.
>цепочку событий из-за кривого когда можете сами развернуть, пофантазируйте. я бы
>даже сказал что отдельно взятый дурак за рулем иной раз менее
>страшен чем халатный программист.
>помните историю LXLabs и vaserv.com?Ну так и в чем проблема? Только в деньгах? Ну так ведь это дело взаимоотношений заказчик/подрядчик. Что? Сервисом пользуются другие люди и они этим сервисом недовольны? Ну так не пользуйтесь! Найдите другой сервис...
Кстати, про vaserv.com: он был взломан из за уязвимости в гипервизоре. Не думаю, что он написан на PHP. Язык, на котором написан гипервизор автоматически объявим плохим? Ведь если его осилили даже индийские программисты, то порог вхождения в язык низкий - значит это "быдлоязык"Резюме: пока еще я не услышал объективных доводов в пользу мысли о том, что на PHP нельзя писать качественные программы.
>Моя мысль такова: PHP действительно легкий в изучении язык. Я считаю это
>его достоинство. Да, действительно порог вхождения в него очень низкий. Но
>разве это недостаток? Наверное, не поддается счету число людей, которые отвернулись
>от программирования, начав изучать это ремесло, например, с Perl'a (ничего личного
>к перлу!!!)о, я вижу что вы есть пхпшник.
да, при текущей реализации самого языка - недостаток. все аргумены выше.>[оверквотинг удален]
>>страшен чем халатный программист.
>>помните историю LXLabs и vaserv.com?
>
>Ну так и в чем проблема? Только в деньгах? Ну так ведь
>это дело взаимоотношений заказчик/подрядчик. Что? Сервисом пользуются другие люди и они
>этим сервисом недовольны? Ну так не пользуйтесь! Найдите другой сервис...
>Кстати, про vaserv.com: он был взломан из за уязвимости в гипервизоре. Не
>думаю, что он написан на PHP. Язык, на котором написан гипервизор
>автоматически объявим плохим? Ведь если его осилили даже индийские программисты, то
>порог вхождения в язык низкий - значит это "быдлоязык"вы за линей своей же мысли хотя бы следите. вы сказали, что не видите кого может покалечить плохой программист, я вам привел яркий пример из последних случаев.
если вы не видите проблемы в ошибках приводящих к взлому сайтов, хищению, модифицированию, уничтожению данных, и/или считаете что в этом виноват в первую очередь заказчик, то вы и есть тот самый быдло кодер и вас, на работу к себе, я бы не взял.
>Резюме: пока еще я не услышал объективных доводов в пользу мысли о
>том, что на PHP нельзя писать качественные программы.а фанатики ничего обычно не слышат.
>Резюме: пока еще я не услышал объективных доводов в пользу мысли о
>том, что на PHP нельзя писать качественные программы.и да, качественные программы можно писать на чем угодно, и замете я не утверждал обратного. но вот зависимость кол-ва хороших программистов по отношению к плохим программистам очень сильно разнится от языка к языку.
Какую же околесицу вы все тут несете!Проблема безопасности в WEB на 99% вытекает от ее понимания горе-менеджерами (и прежде всего хозяевами сайтов).
Эти люди пока в большинстве своем не разобрались в простой истине. Уровень безопасности сайта напрямую зависит от человеко-часов потраченных на обеспечение той самой безопасности. Если в бюджете проекта не заложена соответствующая сумма, то о каком ПоХаПэ вы здесь втираете? На чем еще, кроме этого великого и могучего языка вы реализуете проект для WEB? ASP? JSP? Python? Ruby? Не смешите мои тапочки. Где вы потом разыщете человека, на доработку? И во сколько обойдется такой проект в окончательных цифрах?
И самое главное: какого качества программу вы приобретете, заплатив разработчику на 1,5% больше, чем получает слесарь у нас на машиностроительном?Не ищите соломинку - ищите слона! И научитесь наконец разбираться в причинно-следственных связях.
Будучи ПоХаПе-быдлокодером вот уже 7 с гаком лет, я приложил немало усилий и потратил еще больше времени на достижение понимания того, как не надо писать программы на PHP. За всю свою практику встретил только двух работодателей, понявших, что за отсутствие уязвимостей в программе надо платить, и платить больше...