В открытом доступе опубликован (http://seclists.org/fulldisclosure/2013/Jun/21) рабочий эксплоит (http://www.exploit-db.com/exploits/25986/), позволяющий (http://arstechnica.com/security/2013/06/more-than-360000-apa.../) выполнить произвольный код на web-серверах, на которых установлена панель управления хостингом Plesk. Проблема проверена на системах с Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающих под управлением Linux и FreeBSD (остальные системы не тестировались и возможно также являются уязвимыми). Уязвимость пока остаётся неисправленной. По предварительной оценке (http://www.shodanhq.com/search?q=plesklin) в Сети находится около 360 тысяч потенциально уязвимых серверов, на который установлена панель Plesk.
Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие ограничениями настройки конфигурации PHP, открывается возможность выполнения произвольного внешнего PHP-скрипта с правами http-сервера Apache. Компания Parallels пока официально не отреагировала на уязвимость, для временной защиты разработчик эксплоита рекомендует удалить из конфигурации Apache устанавливаемую Plesk строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.
URL: http://arstechnica.com/security/2013/06/more-than-360000-apa.../
Новость: http://www.opennet.me/opennews/art.shtml?num=37108
Круто!
Да ладно, тут есть зеро-дей эксплойт для оффтопика всех версий 32бит.
В исходниках, значит open source, значит по теме. ;-)
Девятка больше не поддерживается. Восьмерка тоже.
Что-то они рано красный свет повесили:9 июня 2013
По вашей ссылке 9-ку перестанут поддерживать 9-го июня.
с учетом того, что уже шестое - я не соврал.
> которая является источником проблемы.Ох, не там вы, ребята, источник проблем ищете. Ох, не там.
+100500))))
о, да! до того как они переделали плеск на новую так называемую "бизнес модель" еще кое-как можно было мирится. Но сейчас это просто лютый п...ц.
не могу простить им того что "шелм" пожерили, он хотя и древнее г. мамонта то на голову выше по качеству и стабильности чем плеск.
*Шлем (Helm)... простите, был взволнован
Вот и ответ на вопрос как поимели линуксы :)
Это как залезли объясняет. Вопрос о том, как апнули привилегии до рута, пока еще открыт.
local root exploit ?
скопировать в /tmp/exploit.c и скомпилировать gcc, запуститьPROFIT!
> local root exploit ?
> скопировать в /tmp/exploit.c и скомпилировать gcc, запуститьНе могу найти exploit.c. Чтоделоц?
через какое-нибудь криво настроенное sudo или сам пых.
> через какое-нибудь криво настроенное sudo или сам пых.Если некто пинает пых под рутом - там уже санитаров в пору вызывать. Для изоляции профнепригодного гражданина от общества.
Я бы вообще php в список официальных троянов поместил. Типа:- Для linux есть вирусы?
- Да, php. Ставится с репозитория.
Разве в этом PHP виноват?
> Разве в этом PHP виноват?Да просто буратино пыжится тут доказать что php oтстoй. Хотя факты указывают что скриптятину писаную абы кем - ломают на любом ЯП, массово и нагло. Но буратине неудобно замечать этот факт - он же пых обругать пытается. Вот за какую-то такую необъективность фанатов и не любят.
всё правильно говоришь. только по факту что ни пыхер - то ходячее недоразумение. толковых спецов (как и везде) - немного.
> всё правильно говоришь. только по факту что ни пыхер -Я бы уточнил: что ни скрипткидь - то раздолбай. Пример moin-moin, ruby и подобных модных-стильных-молодежных хорошо показывает.
И да, я думаю что если хреноту типа plesk и cpanel будут писать на другом ЯП, фреймворке, whatever - им это не сильно поможет. Потому что если общее качество продукта "ой, что это за крап?" - да как друзья вы не садитесь, а в музыканты не годитесь.
>> всё правильно говоришь. только по факту что ни пыхер -
> Я бы уточнил: что ни скрипткидь - то раздолбай. Пример moin-moin, ruby
> и подобных модных-стильных-молодежных хорошо показывает.moin-moin это не стильномолодёжный п..здец, а старый и абсолютно антипитоновский п...здец. Может быть, уязвимость заставит их пошелвелиться и начать уже думать.
> И да, я думаю что если хреноту типа plesk и cpanel будут
> писать на другом ЯП, фреймворке, whatever - им это не сильно
> поможет. Потому что если общее качество продукта "ой, что это за
> крап?" - да как друзья вы не садитесь, а в музыканты не годитесь.Когда на каждый чих нужно делать костыль:
1. Это отвлекает
2. Это снижает элегантность и читаемость, а значит - усложняет поддержку
3. Это заставляет ненавидеть этот проект, и допускать ошибки уже чисто машинально
4. Изучение нужно делать не с кода, а с философии - тогда и глупости делать не будешь. А если этот этап пропущен, то и будешь делать не так, как правильно, а как с детства привык. В том же python писать неправильно хоть и можно, но сложно и очень больно. Мазохисты от php, конечно, смогут, но нормальные люди - нет. Сначала подготовка, осмысление import this, а затем - постоянное обучение, пока не познаешь "Единый Путь"TM Python, когда на всё есть не вагон решений разной степени сомнительности, а одно - верное.
5. Python - элегантный язык. А php - грязный. Мелочи многое решают.
"Настоящий программист напишет фортрановскую программу на любом языке".
> Может быть, уязвимость заставит их пошелвелиться и начать уже думать.При том, почему-то подавляющее большинство проектов на питоне - ничуть не лучше. Для начала, большинство их них просто страшные на вид и с массой проблем юзабилити. При этом все остальное - вообще уже до балды, одного этого достаточно чтобы проектом пользовались только под дулом пистолета.
> Когда на каждый чих нужно делать костыль:
Отмазки. Вообще, знаешь, по моим наблюдениям не так уж важно на чем подобная энтерпрайзятина пишется. Результат примерно одинаковый. Это вообще грабли иного плана - бизнес хочет потратить поменьше бабла и подороже продать. "Конец немного предсказуем".
Энтерпрайзятина не пишется для себя. Особенно закрытая. А как пишется софт на продажу - мы все догадываемся. Особенно в проприетарных поделиях, где вообще не предполагается что клиент будет в коде копаться.
> 4. Изучение нужно делать не с кода, а с философии - тогдаТогда будешь много пи...ть на форумах и мало делать. Как буратино :). Не удержался от соблазна потроллить.
> 5. Python - элегантный язык. А php - грязный. Мелочи многое решают.
Они так элегантно совместимость факапят, что все мало-мальски давно существующие проекты уже давно и не по своей воле превратились в стремное месиво костылей. Кстати подозреваю что факап убунтуйского апдейтера связан с переходом с бидона 2 на 3. Там по этому поводу ему какие-то феерические по своей кривизне костыли подпихнули. В результате оно все-таки факапнулось несмотря на старания и корректно все-таки не работает.
> Отмазки. Вообще, знаешь, по моим наблюдениям не так уж важно на чем подобная энтерпрайзятина пишется. Результат примерно одинаковый. Это вообще грабли иного плана - бизнес хочет потратить поменьше бабла и подороже продать. "Конец немного предсказуем".
>Энтерпрайзятина не пишется для себя. Особенно закрытая. А как пишется софт на продажу - мы все догадываемся. Особенно в проприетарных поделиях, где вообще не предполагается что клиент будет в коде копаться.Похоже ты не особо представляешь как пишутся проекты такого уровня и какие проблемы при этом возникают.
Нет, дружок. Я в этом принимал участие. И вот именно поэтому я как раз очень хорошо себе представляю как все это происходит. И именно поэтому я никогда не буду пользоваться таким софтом для себя любимого - я себе не враг ;).
>> Разве в этом PHP виноват?
> Да просто буратино пыжится тут доказать что php oтстoй.Это не нужно доказывать, это очевидно всем, кто не совсем дебил и не совсем пыхер.
> Хотя факты указывают что скриптятину писаную абы кем - ломают на любом ЯП,Простейший анализ показывает, что у php найдётся десяток проблем by design, которых в других средствах просто нет. php - это конвейер по изготовлению велосипедов на костылях. Потому что иначе или нивелируются все преимущества и оно становится слишком усложнённым, или оно вообще не поеедт.
У python есть официальный modus operandi - делать всё только одним способом. И на некоторые проекты даже беглого взгляда хватает, чтобы сказать ОЙ - это или legacy, которое писалось ещё на python 1.x, и до сих пор живёт в миру подпорок и хаоса, или писали вчерашние пыхеры, которые решили, что они установят свои правила вместо годами формировавшейся философии.
> массово и нагло. Но буратине неудобно замечать этот факт - он же
> пых обругать пытается. Вот за какую-то такую необъективность фанатов и не любят.Дебилы никого не любят, даже себя. Они только и могут, что постоянно искать себе причину, а потом ею себя оправдывать.
И разумеется, дебилы будут до последнего стоять на том, что php лучше python. Не потому что php лучше python, а потому что дебилы. Или php-шники. Хотя иногода мне кажется, что между этими понятиями нет разницы.
вы ненавидите пых, как провинциалы попавшие в МСК ненавидят провинцию:)
> вы ненавидите пых, как провинциалы попавшие в МСК ненавидят провинцию:)Я ненавижу всё, что сильно портит людям жизнь.
> Я ненавижу всё, что сильно портит людям жизнь.Тогда ты должен возненавидеть себя, за свой неконструктивный ср@ч на форумах xD.
> Я ненавижу всё, что сильно портит людям жизнь.Тогда ты должен ненавидеть питон. А по тебе этого что-то не заметно. Значит, все-таки делаешь исключения.
> Это не нужно доказывать, это очевидно всем, кто не совсем дeбил и не совсем пыхeр.Не, аксиомы от граждан с такими никами, уровнем квалификации и зашкаливающим фанатизмом мы как-нибудь на веру принимать не будем, извини.
> Простейший анализ показывает, что у php найдётся десяток проблем by design,
Не вижу какая именно проблема by design у пыха провоцировала столь странную и грабельную реализацию как в этой приблуде. А то что похожим образом можно лопухнуться и на чем-нибудь еще - успешно доказали и питонисты с moin-moin, и рубисты, и кого там я еще забыл.
> которых в других средствах просто нет. php - это конвейер по изготовлению
> велосипедов на костылях.Как видишь, фэйлить можно и на других ЯП. Программит не ЯП, а программист.
> У python есть официальный modus operandi - делать всё только одним способом.
И этот способ - "через ж@пy"! Потому что ломать совместимость в практически каждой версии - за гранью добра и зла. Да и структура ЯП прозрачно намекает что заточен он на то чтобы даже самый отстойный быд.л.о.кодер мог на этом писать не очень мерзко выглядящие программы - форматировать их таки придется. Кого ставят в стoйло пинками? Ну наверное не профессионалов - те такое обращение не лю, и вообще не ннждаются в таких мерах. Поэтому на кого расссчитан этот ЯП - прекрасно видно. Вот такие им и пользуются. По программам на питоне это заметно, знаешь ли.
И что характерно - код на нем генерят под стать. Тот же moinmoin - обычный такой индусский быд.л.о.код, по его общему качеству. А хотя-бы и на питоне. На питоне можно генерить довольно мерзостный быд.л.о.код ничуть не хуже чем на чем-нибудь еще. Вон у убунтуев например в апдейтере с 12.10 на 13.04 оно не может найти новый релиз у себя под носом. Качество софта, чо - приходится самому позырить в скрипт, осознать что он делал, вручную отпедалить это - и вот тогда процесс апгрейда системы пойдет :). Это чо, не быдлокодинг в этом скрипте был? :)
> вчерашние пыхeры, которые решили, что они установят свои правила вместо годами
> формировавшейся философии.Мы живем в реальном мире. Поэтому заявы что нечто является серебряной пулей - буллшит. На питоне понаписано много разных кривулек. То что на нем можно писать не криво - ну, знаешь, D.J. Berstein вон на "небезопасном" си отжог, написав программы без дыр. А у быдл.о.кодеров из moinmoin и на питоне тyпые дыры образовались. Я уж не знаю - вчерашние они пыхeры или нет, и для какой там оно версии питона писалось. Мне это не важно. Дело то не в ЯП, а в том кто им пользуется. Никакой ЯП программеру мозг не заменит.
> Дeбилы никого не любят, даже себя. Они только и могут, что постоянно
> искать себе причину, а потом ею себя оправдывать.Вот ты уже нашел причину - пых. И атакуешь ветряные мельницы, создавая лишний шум. Которым уже изрядно утомил. Как по мне - "джамшутит" не инструмент, а тот кто им пользуется. Но да, прикольно видеть попытки подтасовать факты от фаната марки. Мол, а с инструментом нашей марки даже криворучка становится первоклассным спецом. Ну и что это как не маркетинговый буллшит? :)
> И разумеется, дeбилы будут до последнего стоять на том, что php лучше python.
Да, пых лучше питона. Знаешь почему? Пыхeры сидят в своей норке и не высовываются, пытаясь из себя что-то изобразить. Ну то-есть, форониксы всякие конечно пишут на оном мегабенчмарки системы, но это исключение а не правило. Сидит оно там в своей нише, на которую заточено - ну и славненько. А питон - вообще недоразумение. На веб изначально не заточен и потому нормальной вебни на нем нет. Полтора кастома черти-где - не считаются, их могут на чем угодно писать. И пишут. Как средство системной автоматизации питон полный шит - совместимость ломают постоянно. В этом его обходит даже bash. Как средство написания программ - тормоз неимоверный в дефолтной инкарнации. Да и программы при рапидной разработке глюкавые получаются. Вот и получается что на питоне написано много ... всякого булшита. И в этом он гораздо хуже любого php, где шит ограничился только вебней в основном.
> совместимость ломают постоянноDebian Woody, 2002 год. Пакет python2.2-examples. Открыл, наугад запустил несколько примеров, все работают.
> все работают.А теперь запусти их в свежей убунте, например. Где 2-й питон вроде как совсем выпилили. Остался только третий. Нафиг не совместимый с 2.х, не говоря уж о 2.2
А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг. В этом вся ваша гадюка - быстро налабать, а потом долго мучаться вообще со всеми возможными проблемами которые в принципе могут быть в программировании. От паршивой производительности до несовместимости между версиями.
>> все работают.
> А теперь запусти их в свежей убунте, например. Где 2-й питон вроде
> как совсем выпилили. Остался только третий. Нафиг не совместимый с 2.х,
> не говоря уж о 2.2python 2 и python 3 - совершенно разные ветки. нигде python 2 не "выпилили", лобзика не хватит. он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более длительной его поддержке.
чушь про то, что где-то нет python2, даже обсуждать не хочется. лично мне python 3 не нужен, а за год до прекращения поддержки уж как-нибудь за год потихоньку перепишу, если сильно понадобится.
> А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг.полскрипта переписывает 2to3, если уж совсем нужно.
> python 2 и python 3 - совершенно разные ветки.Слишком длинный вариант фразы "свое г...но не пахнет". Не обязательно свои мантры повторять по ...цать раз. Софт или надо переписывать/костылить, или нет. А галимые фанатские отмазки себе оставь.
> нигде python 2 не "выпилили", лобзика не хватит.
Из дефолтной инсталляции его IIRC выкинули, так что куча бидонятины как раз сломалась, всем на радость.
Только недавно видел - некто накорябал скрипт на питоне 2. Вывалил. Ну и полгода жил себе безбедно. А тут убунта 13.04 - без питона 2 совсем. Автора уже заманали багрепортами "а твоя хреновина что-то не работает?!". И теперь у него шикарный выбор - или смириться с постоянной долбежкой мозга такими репортами, которая будет только усугубляться, или переписать половину хреновины.
> он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более
> длительной его поддержке.Ну да, это по донкихотовски - сначала создать проблемы, а потом героически их решать.
> чушь про то, что где-то нет python2, даже обсуждать не хочется.
Это не чушь, это реально подсмотренный пример поимения мозга автору скрипта на питоне 2 со стороны юзвергов новых систем, лол :)
> лично мне python 3 не нужен, а за год до прекращения поддержки
> уж как-нибудь за год потихоньку перепишу, если сильно понадобится.К счастью, это уже не мои проблемы.
>> А варианты вида "вы можете переписать полскрипта" - да пошли вы нафиг.
> полскрипта переписывает 2to3, если уж совсем нужно.Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)
>> python 2 и python 3 - совершенно разные ветки.
> Слишком длинный вариант фразы "свое г...но не пахнет". Не обязательно свои мантры
> повторять по ...цать раз. Софт или надо переписывать/костылить, или нет. А
> галимые фанатские отмазки себе оставь.Чтобы понять, что это разные ветки, можно провести простой анализ. А можно даже на цифры посмотреть. Кстати, php4 и php5 это тоже сильно разные ветки. Но в php софт дружно отваливается даже на переходе с php5.2 до php5.3 :)
>> он до сих пор мейнстрим и до сих пор поддерживается, и даже задумываются о более
>> длительной его поддержке.
> Ну да, это по донкихотовски - сначала создать проблемы, а потом героически их решать.python 2 нужен одной категории людей. python 3 нужен другой категории людей. лично мне python 3 не нужен. мне python 2 нравится больше.
>> полскрипта переписывает 2to3, если уж совсем нужно.
> Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)Потому что есть ещё и расширения на C, и другие нюансы. А в некоторых моментах - нужно вообще изменить мышление, и думать другими категориями объектов.
ps. Пересказывать интернет я не хочу. Там всё написано. Имеющий желание - легко найдёт и буквари, и видеоролики.
> Чтобы понять, что это разные ветки, можно провести простой анализ. А можно
> даже на цифры посмотреть. Кстати, php4 и php5 это тоже сильно
> разные ветки. Но в php софт дружно отваливается даже на переходе с php5.2 до php5.3 :)На PHP как правило не пишут системную автоматизацию/скрипты, десктопные программы и прочие значки в трее. Поэтому вред от него лимитирован одной конкретной нишей. А от питона вот эта ср@нь может попасться в куда большем количестве областей. Больше поводов его ненавидеть, имхо :)
> python 2 нужен одной категории людей. python 3 нужен другой категории людей.
> лично мне python 3 не нyжен. мне python 2 нравится больше.Тебя, как ты понимаешь, спросить забыли. Будет большинство дистров по дефолту 3-й поставлять - и или ты просто не сможешь ничего релизнуть для публики вообще, или тебе юзерье мозг склюет "ой, а чего это оно не работает?". Процесс уже начался - первые недоуменные морды юзерей такого плана я уже видел. Да что там, эти грабли уже в первый раз въехали в лоб лично мне - убунтуи при смене версий питона сломали свой апдейтер, до состояния когда мне пришлось самому смотреть что оно пыталось сделать и отпедаливать это вручную. Обалдеть системная автоматизация. И почему я не должен ненавидеть тех криворучек которые не могут безглючно написать даже тул которые делает пяток простых действий? Ну там скачать список, скачать из него файл, проверить GPG подпись, запустить. Я вообще не понимаю - как можно столь простую задачу так глюкаво реализовать. И главное сколько лет этой дряни - оно столько лет и глючит. Правда вот последние 2 года глючит совсем непотребно. Ну в общем последствия разработки во всей красе...
>> Что же питонисты тогда так страдают по этому поводу, если все так замечательно? :)
> Потому что есть ещё и расширения на C, и другие нюансы. А в некоторых
> моментах - нужно вообще изменить мышление, и думать другими категориями объектов.Ну так это одна из существенных претензий - очень нестабильная в плане фич хренота. На которой понаписали крапа, а теперь от этого одни мучения везде. За что-то такое я питонистов и не жалую - гемора от них много.
> Имеющий желание - легко найдёт и буквари, и видеоролики.
Это пусть адепты вьюжлбэйсика ищут. Как раз для них средства обучения.
>> python 2 нужен одной категории людей. python 3 нужен другой категории людей.
>> лично мне python 3 не нyжен. мне python 2 нравится больше.
> Тебя, как ты понимаешь, спросить забыли. Будет большинство дистров по дефолту 3-й поставлятьУ python есть конкретный план развития, и все дистрибутивы на него всю жизнь равнялись. С чего бы кто-то стал сознательно убирать python 2, на котором написаны тысячи модулей - я даже не представляю. Вероятность такого события считаю нулевой.
> - и или ты просто не сможешь ничего релизнуть для публики вообще,и virtualenv
> Дело то не в ЯП, а в том кто им пользуется. Никакой ЯП программеру мозг не заменит.По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.
Но есть одна маленькая деталь - когда разработчик вместо проблем разработки решает проблемы языка, он отвлекается и совершает дополнительные ошибки. В Вилларибо уже построили рабочий экземпляр и теперь оптимизируют слабые места и ищут ошибки, а в Виллабаджо всё стучат по клавишам, пытаясь разобрать полученный код и успеть хоть к какому-то сроку.
Я 9 лет писал разные странички на php и 2 года на python, и точно вижу, что (как минимум, для меня) на python писать намного удобнее, намного проще и намного быстрее. Не думаю, что другие люди принципиально от меня отличаются.
> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.В каком-то роде так и есть: олух который не умеет водить, но полез кататься - раздолбает жигуля и бэху до куска металлолома совершенно одинаково. А приемщикам металлолома все-равно, бэха это была или жигуль: они металл по весу принимают, а кем он был сделан им вообще совсем не интересно :).
> Но есть одна маленькая деталь - когда разработчик вместо проблем разработки решает
> проблемы языка, он отвлекается и совершает дополнительные ошибки.Нормальный пыхапэшник по моим наблюдениям уже давно берет какой-нибудь мощный популярный фреймворк, где большинство проблем более-менее заделано, баги удавлены и прочая. А под питон даже с этим опа-zope'а. По поводу чего нормальную вебню на питоне найти вообще очень проблематично. Есть полтора кастомных экспоната у пары корпораций, ну и все. Что прозрачно намекает что нечто вменяемое на этом можно сделать только обладая ресурсами "как у гугла".
>> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Неважно, что есть.
> В каком-то роде так и есть: олух который не умеет водить, но
> полез кататься - раздолбает жигуля и бэху до куска металлолома совершенно
> одинаково. А приемщикам металлолома все-равно, бэха это была или жигуль: они
> металл по весу принимают, а кем он был сделан им вообще совсем не интересно :).По такой логике, неважно, на чём ездить, на жигулях или на бмв. Но это не так.
Никто не пересядет с бмв на жигули (кроме Путина).
> Нормальный пыхапэшник по моим наблюдениям уже давно берет какой-нибудь мощный популярный
> фреймворк, где большинство проблем более-менее заделано, баги удавлены и прочая.Фреймворк, во-первых, сразу выключает php из "легко изучать, легко развернуть", и начинающие php-разработчики не пишут на них, это сложно. (в отличие от python, где на bottle даже домохозяйка сможет блог написать).
Во-вторых, это всё иллюзия, иллюзия представить, что php - это на самом деле ruby или python, и там всё по-взрослому. Но это не так, они работают совершенно по-разному, и что в python делается элементарно (by design), в php бъёт этой иллюзией по лбу.
Лично мне причины выбирать фреймворк на php и изучать кучу нового, вместо того, чтобы выбрать фреймворк на python/ruby/node, изучить кучу нового плюс изучить новый принцип построения веб-приложений (и разом получить все преимущества) - непонятны. Ну перерос ты песочницу и <?php hello(); ?> - ну и бери нормальный инструмент, а не пытайся к надувной удочке приделать колёса, и, закрыв глаза, считать это автомобилейм. Детство или кончилось, или нет, вместе не бывает.
Я ещё раз повторю главную мысль - никто не переезжает с python, ruby, node на php. Обратное - сплошь и рядом. И все остальные попытки спорить с частностями, игнорируя основное - это придирки, и сути они не изменят.
> По такой логике, неважно, на чём ездить, на жигулях или на бмв. Но это не так.Скажем так, хороший водитель на жигулях - лучше чем идиoт на бэхе. А идиoты на бэхах которые права себе купили - встречаются чаще чем на жигулях, потому что если кто купил только жигуля - то и на права у него денег нет, он по крайней мере относительно честно выучит ПДД и таки сдаст экзамен. За это чрезмерно крутых многие водилы недолюбливают как раз. Те у кого много понта обычно являют собой опасность или проблемы для окружающих.
> Никто не пересядет с бмв на жигули (кроме Путина).
Скорее, проблема в том кто чаще всего за рулем попадается. Если по накопленной статистике за рулем наиболее крутой модели бэхи часто попадаются идиoты - ты завидев очередную драндулетину такой марки поневоле отнесешься к ней с осторожностью, понимая что за рулем скорее всего вот такое. Ну вот и тут как-то так же. По накопленной статистике за "рулем" как правило обычные быдлoкодеры и кривoручки.
> Фреймворк, во-первых, сразу выключает php из "легко изучать, легко развернуть",
Ну да, спору нет - блондинкам нравится "легко изучать". А то что они потом в ответственных ситуациях газ и тормоз путают, таряня других или сшибаая пешеходов как кегли - за это участники движения их и не любят. Вреда от таких участников движения многовато.
> где на bottle даже домохозяйка сможет блог написать).
Домохозяйке лучше заниматься домохозяйством. А если уж кто полез писать бложики - пусть нормально учится это делать. Иначе получится очередная вырвиглазина, дырявая и убогая. Потом еще и спам с этого сервака полетит. А оно надо?
> так, они работают совершенно по-разному, и что в python делается элементарно
> (by design), в php бъёт этой иллюзией по лбу.Что-то существующие продукты не подтверждают этот тезис. Что-то дельное на питоне смогли сделать полторы корпорации. У остальных это как правило столь вырвиглазная наколенщина что вообще слов нет.
> и, закрыв глаза, считать это автомобилейм. Детство или кончилось, или нет,
> вместе не бывает.Прикольная попытка подтасовки понятий взрослости. Вот только замена одного ЯП на другой еще никого взрослее не сделалаю
> Я ещё раз повторю главную мысль - никто не переезжает с python,
> ruby, node на php. Обратное - сплошь и рядом.Ну так это... наиболее е...тые скрипткидисы думают что если заменить массовый инструмент на что-нибудь поэкзотичнее, модное-стильное-молодежное, для пи...сов голубых кровей - это сразу даст им +20 к их крутизне. А по факту - наблюдаемый выхлоп от этой активности ни на какие особые достижения не претендует.
А так то да, если все сначала писали только на пыхе - логично что НА пых переходить не будут по чисто технической причине. За практически полным отсутствием внятных проектов для веба на чем-то еще.
> По поводу чего нормальную вебню на питоне найти вообще очень проблематично. Есть полтора кастомных экспоната у пары корпораций, ну и все.Из сайтов, которые я регулярно посещаю, на php ровно 2. Один из них - wikipedia, которая постоянно просит деньги на новые серверы (у них явно проблема с php и с mysql). Сайтов на python и ruby, даже если не брать в расчёт мои собственные, я посещаю явно больше двух. Как минимум, youtube и launchpad.
ps. Some well known sites that use Django include Pinterest,[5] Instagram,[6] Mozilla,[7] The Washington Times,[8] and the Public Broadcasting Service.[9]
> Что прозрачно намекает что нечто вменяемое на этом можно сделать только обладая ресурсами "как у гугла".Я тут недавно почитал форум по php. "Быстрая и простая настройка" php включает в себя кучу кэшей и кучу изменений, чтобы достичь хоть какой-то скорости. Ковыряние в неинтересной ерунде. Скорость python-приложений "из-коробки" меня устраивает гораздо больше.
> них явно проблема с php и с mysql).Странно, почему же питонисты и рубисты до сих пор не написали свое, в 5 раз лучше? Может, не так все просто в этой жизни? Кэп намекает что работа с большими объемами данных и обслуживание всей планеты - целая отдельная наука :). И, кстати, у википедии не так уж и много серверов - они как и все нормальные люди используют кеширование, так что пых и мускул на большинство запросов вообще не дергаются, если что :). Поэтому они и справляются с обслуживанием относительно небольшой группы серверов относительно небольшой группой админов. У того же гугля инфраструктура для обслуживания всей планеты намного масштабнее, со своими датацентрами опром и прочая.
> Сайтов на python и ruby, даже если не брать в расчёт мои собственные, я
> посещаю явно больше двух. Как минимум, youtube и launchpad.В ютубе основной хевилифтинг делает отнюдь не питон. Там вообще роль скриптового бэкэнда на серваке невелика. Было б это не так - оно бы от нагрузки издохло нафиг, даже у гугеля. А ланчпад - грузится через раз после каждого выпуска убунты. И что характерно - оба проекта - довольно крупных контор, с миллионами зелени. Остальным видимо написать что-то работающее и на питоне и поддерживать это - вообще слабо.
> ps. Some well known sites that use Django include Pinterest,[5] Instagram,[6] Mozilla,[7]
> The Washington Times,[8] and the Public Broadcasting Service.[9]Пока бидонисты и прочие рубисты понтуются пятком сайтов, пэхопэ настолько сожрал рынок что никому и в бошку не приходит подсчет вести.
Буржуи про это говорят: "500-pound gorilla does not needs buzz".
> какой-то скорости. Ковыряние в неинтересной ерунде.
> Скорость python-приложений "из-коробки" меня устраивает гораздо больше.Что те что другие - скриптотормозилки. Какая там у питона скорость? Он обычный интерпретер в его дефолтной инкарнации. С чего он там скорость разовьет? С эффекта плацебо у фанатика? :)
> Он обычный интерпретер в его дефолтной инкарнации. С чего он там скорость разовьет?С того, что php при каждом соединении умирает и оживает заново, выстраивая всё окружение, а python просто работает. Даже для банального кеширования нужен отдельный сервер, к которому при каждом запуске нужно поднимать или хотя бы подбирать коннекцию.
> С того, что php при каждом соединении умирает и оживает зановов криокамерах научились и деревяшки замораживать? O_O
>> С того, что php при каждом соединении умирает и оживает заново
> в криокамерах научились и деревяшки замораживать? O_OМожно увидеть пример передачи глобальной переменной, которая всё время находится в памяти?
>>> С того, что php при каждом соединении умирает и оживает заново
>> в криокамерах научились и деревяшки замораживать? O_O
> Можно увидеть пример передачи глобальной переменной, которая всё время находится в памяти?можно узнать, какое это отношение имеет к «при каждом соединении умирает и оживает заново»? твоя фраза понимается однозначно: «делает cold restart». это не так, это всего лишь один из возможных режимов.
ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.
> можно узнать, какое это отношение имеет к «при каждом соединении умирает и
> оживает заново»? твоя фраза понимается однозначно: «делает cold restart».
> это не так, это всего лишь один из возможных режимов.Всё, вспомнил. Тут я, конечно, неправ.
> ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.
Так и бегает, постоянно поднимая-опуская данные, коннекции и прочее? Туда-сюда, туда-сюда? :)
>> ну, и вопрос, конечно, великолепен. к счастью, *такие* грабли пых не позволяет.
> Так и бегает, постоянно поднимая-опуская данные, коннекции и прочее? Туда-сюда, туда-сюда?
> :)вот в отличие от любимых конфигов гвидобейсика пых не занимается предоставлением веб-сервера. а если тебе нужен какой-то persistent state — так и храни его в чём-то наподобие redis или memcached.
всё равно «для веба» что пых, что гвидобейсик, что нодажыэс — ущербны примерно одинаково. потому что без first class continuations писать вебню неудобно.
> С того, что php при каждом соединении умирает и оживает заново,И апач и php-fpm с вами отчаянно несогласны.
На данный момент надо целенаправленно собирать схему, в которой будет именно так.> Даже для банального кеширования нужен отдельный сервер,
apc не видел?
Не, дружище, ты как-то совсем уже напраслину пошёл гнать и сим палишься, что не знаешь того, что так жёстко критикуешь. Посему собирать тебе минуса даже от тех, кому пых может и не нравится, но просто в теме.
а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apacheПотому что php - родина костылей.
>> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
> Потому что php - родина костылей.Костыли существовали задолго до PHP и вообще IT.
А конкретно в юниксовом программировании они были впервые массово внедрены борн-шеллом.
Начиная с того, что интерактивный шелл начали пересобачивать в интерпретируемый ЯП.
>>> а причём тут PHP? scrptAlias /phppath/ "/usr/bin/" это же apache
>> Потому что php - родина костылей.
> Костыли существовали задолго до PHP и вообще IT.
> А конкретно в юниксовом программировании они были впервые массово внедрены борн-шеллом.
> Начиная с того, что интерактивный шелл начали пересобачивать в интерпретируемый ЯП.Автор парадигмы "откроем все окна, потому что так у нас получается взлететь" - именно php.
> Автор парадигмы "откроем все окна, потому что так у нас получается взлететь"
> - именно php.Очень спорное утверждение. Тем более что в PHP средств для работы с окнами штатно вроде как совсем нет, IIRC :P
> Очень спорное утверждение. Тем более что в PHP средств для работы с
> окнами штатно вроде как совсем нет, IIRC :PЕсть. php.exe и apache.exe. Именно оттуда php получает основной заряд сырости. :)
Python.exe тоже бывает, так что не аргумент.
> Python.exe тоже бывает, так что не аргумент.Бывает, кто ж спорит.
Что-то moin-moin не сильно помогло что он на питоне. Массовый взлом все-равно состоялся. Да и ruby вон вздрючили в соседней новости не хуже. Может, дело не в бобине, а в том кто в кабине?
Вот и ответ, почему не нужно загаживать свою свободную систему пропритарным мусором.
> строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.Гениальная идея, однозначно! Хакеры оценили по заслугам :)
>> строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.
> Гениальная идея, однозначно! Хакеры оценили по заслугам :)Удивительно другое - почему это никто не заметил сразу.
> Удивительно другое - почему это никто не заметил сразу.Наверное потому что коммерческими проприетарными продуктами пользуются те кто думает что достаточно заплатить денежку и будет чики-пуки. А оказывается при этом могут впарить черти-что, писанное черти-как. Happens!
Plesk на лету передаёт настройки Apache через специальный модуль, базовые файлы конфигурации Apache не меняются. Поэтому строку нужно искать в потрохах Plesk, а не в конфигах Apache.
> Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin.так вот зачем, оказывается
>Дистрибутив Arch Linux осуществил перенос всех исполняемых файлов в /usr/bin
FreeBSD и PHP в /usr/bin ?Это в 11 версии так ?
> FreeBSD и PHP в /usr/bin ?
> Это в 11 версии так ?
>> FreeBSD и PHP в /usr/bin ?
>> Это в 11 версии так ?
> http://kb.parallels.com/en/113818И где там про FreeBSD ?
>>> FreeBSD и PHP в /usr/bin ?
>>> Это в 11 версии так ?
>> http://kb.parallels.com/en/113818
> И где там про FreeBSD ?Во фразе:
"Parallels's End of Life policy is available here: http://www.parallels.com/products/plesk/lifecycle"
Я так и не понял, где искать эту строку.
ахах Apache прекратиeval() Apache ^_^
> ахах Apache прекрати
> eval() Apache ^_^причём здесь apache, это костыли для пыха.
если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.
такое можно сделать так же с Ruby и Python если разрабы плевали
> такое можно сделать так же с Ruby и Python если разрабы плевалиИЧСХ, делали. Если отпустить тормоз и в новости неподалеку проследовать. Прямо на опеннете. И вам массовые взломы сайтов с ruby, и вам массовое поимение moinmoin, и что там блин еще.
именно такое на питоне сделать трудно, ибо не юзааются питоновский веб через апачевские костыли-интерпретаторы.
> если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.Очевидно, и в этом случае виноват будет PHP. Просто потому, что буратина любит питон и ненавидит его конкурентов. (Хотя с точки зрения нормальных людей, php vs python - это "игра была равна - играли два г*на".)
>> если сделать вход по пустому паролю через ssh, и поломают - это явно не ssh будет виноват.
> Очевидно, и в этом случае виноват будет PHP.Не php, а пыхер. Это в их духе - совершать такие ошибки.
> Просто потому, что буратина любит питон и ненавидит его конкурентов. (Хотя с точки зрения нормальных людей, php vs python - это "игра была равна - играли два г*на".)Конкуренты python - это, прежде всего, ruby и javascript. И они мне очень нравятся (точнее, мне нравится не js, а coffeescript).
Сравнивать php с python будет или ушибленный на голову, или никогда не заглядывающий в репозитории приличных дистрибутивов.
> Конкуренты python - это, прежде всего, ruby и javascript. И они мне
> очень нравятся (точнее, мне нравится не js, а coffeescript).Dart, Ceylon, Go, Opa, Fantom, Zimbu, X10, Chapel
> Dart, Ceylon, Go, Opa, Fantom, Zimbu, X10, ChapelЯ написал "прежде всего". И предназначенные для практических задач сегодня (а что будет завтра, лично мне неизвестно - мне не докладывали), имеющие много модулей и много пользовательского опыта.
> заглядывающий в репозитории приличных дистрибутивов.Спасибо, в убунте я уже заглянул - апдейтер переписали с питона 2 на 3. После чего он сломался самую малость - потерял умение систему апгрейдить. Сущие мелочи.
И чем этот эпический г@внокод отличается от остальных наколенных поделий?
похоже просто другой способ использовать прошлую PHP дырку CVE-2012-1823 (http://www.php.net/archive/2012.php#id2012-05-03-1) по поводу которой Parallels отписывался раньше http://kb.parallels.com/en/113818 - снова PHP, снова CGI
Начинать программировать нужно с Кнута, а уже потом пряники.. На рынке труда вакуум в которой порой засасывает домохозяек.