The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Эксперт по безопасности покидает команду PHP. Патчи для контроля почты

14.12.2006 22:12

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публично опубликовать информацию. Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.

В заключение, Ilia Alshanetsky опубликовал просто необходимый для систем массового хостинга патч к mod_php. Патч позволяет вести полный лог отправки сообщений по электронной почте через функцию mail(), а также включать в тело письма заголовок с уточнением из какого именно скрипта и от какого пользователя осуществлена отправка.

  1. Главная ссылка к новости (http://developers.slashdot.org...)
  2. Security specialist leaves PHP security team
  3. Retired from [email protected]
  4. mail_log.txt.gz
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/9234-php
Ключевые слова: php, security, patch, spam, mail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, smb (?), 22:49, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда
    Интересно, что будет дальше?
    Тенденция-с, господа..
     
  • 1.2, пИнгвин (?), 22:55, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ничего, нормально, линию поведения (публикацию инф-ии об ошибках) г-н Stefan Esser выбрал правильную на мой взгляд.
     
     
  • 2.3, Mikk (?), 23:28, 14/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да, замечательно. Stefan Esser будет публиковать уязвимости, а в комментариях будут публиковаться экспоиты. Слишком кардинальные меры, мне думается.
     
     
  • 3.9, Halyava (?), 09:02, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    ТОгда может и по отношению к ядру так же сделаем? Самый правильный шаг для OSF ибо все разработчики видят это и не будут писать подобный код!
     

  • 1.4, nuclight (?), 00:40, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, дождались. Отдельные люди говорили, что PHP крив до безобразия, не верили - так теперь все могут наблюдать уже воочию. Stefan Esser молодец, так держать. Падающего - толкни (с).
     
     
  • 2.7, Квагга (?), 07:27, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, дождались. Отдельные люди говорили, что PHP крив до безобразия, не верили
    >- так теперь все могут наблюдать уже воочию. Stefan Esser молодец,
    >так держать. Падающего - толкни (с).

    Ага. Проекты с сотнями инсталляций! Толкните 100 млн. иснталляций PHP!

    Только не пукните.


     

  • 1.5, kron (??), 01:41, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прощай, безобразно-уродливый пых
     
  • 1.8, tug (??), 08:37, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PHP - убожесто как и все web языки, но больше всего в данной ситуации он напоминает огромный боинг при аварийной посадке, т.е. проекты на нём есть и будут, даже если при движении у него постепенно отваливаются шасси и крылья. Ну и конечно это отличное решение для тех, кому нужен быстрый результат для получения денег (любые средние web студии), а качество... качество естественно в asshole.

    Хочется надеяться, что придёт новая платформа для веб проектов (даже если ява станет доступна на массовых хостингах), которая потеснит быстрые решения вроде php и всяких там ruby, но пока в это верится с таким же трудом как и в то, что *nix это ОС для конечного пользователя.

     
     
  • 2.10, Некто (??), 09:08, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    вы руби-то видели? а RoR? :)
    что-то мне подсказывает, что даже когда осуществится ваше "придёт новая платформа для веб проектов (даже если ява станет доступна на массовых хостингах)", то вы ее точно так же в глаза не видя будете хаять на форумах
     
     
  • 3.30, tug (??), 06:14, 16/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Видел. Тоже видел, прикольно. Я даже PoR видел, а Вы? =)
    http://www.megginson.com/blogs/quoderat/archives/2005/06/11/rails-vs-php-mvc-

    Каждый инструмент хорош для своих целей, но то, для чего сейчас пытаются приспособить скриптовые языки, иначе как извращением не назовёшь, это вроде как строить многоэтажный дом из бревен.

    Все жители деревни издавна умеют строить дома из бревен. Приезжает заказчик из города.
    - вау классные дома, а 30 этажку мне сможете построить?
    - не вопрос, но мы умеем только из бревен.
    - круто, брёвна дешевые, стройте.

    Интересно, почему же многоэтажки из бревен так просто рушатся? Может потому что бревна как материал для многоэтажек не канают?

    И вообще зря Вы так, я не жду прихода новой мифической платформы, я бы с удовольствием писал на Яве, но хостинговые решения для неё приближаются по цене к VPS, что для большинства мелких клиентов просто расточительство. Вот и пишем на PHP, где площадка стоит 100 рублей в месяц, а написать вывод из базы в таблицу может каждый дизайнер. А потом заказчик просит дизайнера построить второй этаж, третий, четвертый и вот дизайнер уже стал программистом, ато он же 5 этажку из бревен построил. Потом он эти четыре этажа начал всем подряд впаривать. Ну и т.д.

    А Вы говорите "быдлокодеры". Дилетантов хватает в любом деле/языке/конторе.

    Резюме. PHP простой и хороший скриптовый язык, но пожалуйста не пишите на нём framework'и и enterprise проекты, пожалуйста...

     
     
  • 4.41, Аноним (-), 22:20, 25/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Резюме. PHP простой и хороший скриптовый язык, но пожалуйста не пишите на нём framework'и и enterprise проекты, пожалуйста...
    Угу, мля, а чем оно хуже то?Бревна, бревна... на сях написаны целые операционки, и ничего, работает, каши не просит.Может, дело то не в языке а в тех кто его использует?
     
     
  • 5.49, Pilat (ok), 14:33, 01/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Угу, мля, а чем оно хуже то?Бревна, бревна... на сях написаны целые
    >операционки, и ничего, работает, каши не просит.Может, дело то не в
    >языке а в тех кто его использует?

    Не хочу шокировать уважаемого безымянного, но С был создан именно для написания операционок, и конкретно для написания кода юникса.

     
  • 2.18, Аноним (-), 16:37, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    аха-ха, насмешил...

    новая платформа не приходит из неоткуда, это я вам по секрету скажу...

    реальный выбор для меня сейчас это либо RoR, либо решения на питоне типа Django... либо Java где туева хуча разных библиотек и фреймворков и из-за этого сложно решить, что использовать...

    а вы ждите, ждите...

     
     
  • 3.42, Аноним (-), 22:25, 25/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Самое прикольное что если те кто юзал php пойдут юзать ROR или Java, дыр будет ровно столько же.Дырявых систем на жабе - как г*вна, ибо много дятлов налетело кодить системы для банков и прочее.Итого встречаются системы с совершенно brain damaged логикой работы которые даже хакать не надо - просто бери и имей их на ровном месте потому что те кто их писали головой думать не умели принципиально.Накодили - работает.Как, чего, насколько логика работы нормальная, а дыр нет - да никого не ... - а в итоге получается что у больших контор с програмерами свято верящими что язык X это круто а потому думать не требуется - глюкавые и дырявые порталы.
     

  • 1.11, sa10 (??), 10:08, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ИМХО все это PR конкретной персоны.
    Не осуждаю, нельзя не замечать такий людей.
    Но PHP такой же дырявый как и любой другой софт.
    Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то  только потому что PHP чаще используется.
    Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.
     
     
  • 2.13, Oxyum (?), 10:56, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А вы сами-то ставили свой php_hardened?
    Я вот ставил... И меня не прикололо самостоятельно переписывать кривой софт! :(

    Так что это не панацея. Это можно поставить себе на один сайт, но на хостинг это не воткнешь - все клиенты разбегутся...

    PS: У меня PHP-софт работает под suhosin... там где я не смог от него избавиться...

     
     
  • 3.14, sa10 (??), 11:05, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    СтоИт больше года, но хостингом я не промышляю.
    Для клиентов правильнее виртуалок наставить где можно, пусть сами ставят что хотят.
    Проблемы клиентов все равно не разрести.
    Иногда приходится граблями получить по носу, но это бывает полезно :)
     

  • 1.12, Demimurych (?), 10:39, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да как сказать. По случаю пришлось ковырять e107. Такая CMS бесплатная. Налось пара серьезных проблем. Повесил в баг трак. Висели две недели без отзывов. Повесил javascript на заглавную - alert(varning vulnerability.) исправили за час.  Так что я думаю он прав.
     
  • 1.15, Аноним (-), 14:37, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PHP не может умереть!куда деваться сотням голодных быдлокодеров? Но нет, товарищ который говорил про боинг был прав,как писале на пыхе так и будут, а безопасность... х%й с ней  - главное бапки, потрбительская психология дает о себе знать.
     
     
  • 2.16, Demimurych (?), 14:55, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Колличество так иди иначе перейдет в качество. Уже сейчас я видел в тендерах на сборку сайтов пункты об ответственности за дискредитацию.
     
  • 2.19, logan (ok), 16:40, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >PHP не может умереть!куда деваться сотням голодных быдлокодеров? Но нет, товарищ который
    >говорил про боинг был прав,как писале на пыхе так и будут,
    >а безопасность... х%й с ней  - главное бапки, потрбительская психология
    >дает о себе знать.


    Эх, где же ты, мифическая альтернатива PHP? Неужели ASP от micro$oft? Не верю! :)

     
  • 2.21, michelle (??), 17:58, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Парниша - иди разглагольствовать насчет быдлокодеров на ЛОР!
    Быдлокодеры есть с ЛЮБОМ языке!
    Даже на любимой всеми ЛОРовцами Java!!
     
     
  • 3.23, Аноним (-), 19:15, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Парниша - иди разглагольствовать насчет быдлокодеров на ЛОР!
    >Быдлокодеры есть с ЛЮБОМ языке!
    >Даже на любимой всеми ЛОРовцами Java!!

    Товарисчь, успокойтесь, берегите нервы, я не собираюсь разводить холи вар изза того что кто-то не умеет контролировать емоции. а вобще пейте валерьянку, помогае. Если бы вы себя не считали быдлокодером то и не восприняли бы на свой счет :) я против РНР ничего не имею так как имею счастье с ним работать, а вот насичет быдлокодеров -вы же не станете отрицать что 90% процетов написаного на РНР кода ето просто поделки?

     
     
  • 4.28, michelle (??), 22:37, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Я сам работаю с PHP  уже лет 5!
    Просто надоело слышать быдлокодер по отношению только к программистам, пишущем на PHP!
     
     
  • 5.29, Аноним (-), 23:57, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Я сам работаю с PHP  уже лет 5!
    >Просто надоело слышать быдлокодер по отношению только к программистам, пишущем на PHP!

    Дык епт, товарищ,быдлокодер ето состояние ума а не направление/ЯП/технология :) пхп с кучей недостатков, как впрочем и все остальные продукты, обидно только что товаризчи которые делають кладут на секурность, потому и ругають его нохорошими словами... есть за что..

     
     
  • 6.31, michelle (??), 11:38, 16/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А вот с этими словами я 1000% согласен!!
     

  • 1.17, leon55 (?), 16:20, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пишите на перле, господа ,))
     
     
  • 2.20, Dvorkin (??), 16:47, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    вот это asshole точно :)
     

  • 1.22, www.andr.ru (?), 18:30, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем вообще изобретать велосипед, если есть CGI?
    пиши на чём угодно, хоть на ассемблере.
    геморрой сами себе выдумали.
     
  • 1.24, HardKiller (?), 19:23, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    CMS на ассемблере это ЛОЛ. надо будет
    панкам знакомым рассказать.
     
  • 1.25, Oles (?), 20:00, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Реально никакой баги не опубликовали а крика всё равно что конец света начал наступать. Токма не пойму откуда столько ненависти у людей к продукту который они не используют? Нравится питон или руби - дык вперёд, используй. А по секрету я скажу что "90%" написаных на чём угодно программ - убожество. Потому что "быдлокодеров" такой же процент. Таким был и будет всегда.
     
     
  • 2.26, uF0 (?), 20:53, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > А по секрету я скажу что "90%" написаных на чём угодно программ - убожество.

    Потому что 85% это закрытый софт, за который тебя не будут публично высмеивать и потому-что он именно так и делается ...

     

  • 1.27, Аноним (-), 22:24, 15/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну ушел. что изменилось? ну будут эксплоиты..значить придеться занятся безопасностью локлаьно...насчет кривости...батенька, а вы бейсик или дельфи к примеру видели?
    тем более пхп - многоплатформенный язык, я думаю он просуществует еще долго, конкрентов у него нет( перл не являеться, он намного сложнее)
     
  • 1.32, Аноним (-), 13:32, 16/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот я пишу на бумаге (ручкой иногда карандашом) все нормально ни кому пока не удалось по сети взломать. Правда переполнения стека иногда бывает. Но я просто встаю иду отливаю и стек пуст до следующего дека литра пива. А РНР это че такой сорт бумаги... и вообще хгдн это я???
     
     
  • 2.33, Анонимус (?), 15:03, 16/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Хм... какие вы здесь)
    На мой лично взгляд  проблема заключается даже не в криворукости команд разработчиков, а в том кто пишут на них.
    Т.к. намой взгляд в таких проектах без ошибок просто не возможно, багги везде есь и будут. Так же на мой взгляд пыхпых не чем не хуже  других интерпретаторов.  
    (Далее идёт текст от 1-ого лица,т.к. проще писать) То что он там дырявый и т.п. как то это не должно заботить, это проблема хостера. Мои скрипты проверяют все входящие данные, и в чём криворукость PHP? Да я согласен, может функция  ге-нить, чотнить не о возвращает,не доглядели разрабы. Тогда не используй её. Я клоню к тому, что безопасность пыхпыха зачастую зависит от юзеров, которые пишут на нём, и в меньшей степени от команды разрабов. Я не  защищую разработчиков, я так же считаю, что им следовало бы начать с исправления (и обката) существующих версий, да и справлять ошибки по быстрее. А огромный багтракер обысная вещь для большого проекта.

    ЗЫ Я давай-те не забывать, что это Free, а следовательно и со всеми выходящими последствиями,я так думаю, что называть не хорошими словами, которые пишут нао определеном языке, глупо.
    ЗЫ2 Давайте так же не забывать, что багги они есть, но такие сайты, как overclockers.ru, ag.ru используют форум написанный на PHP(phpbb).

     

  • 1.34, Roma (??), 00:59, 17/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я поражаюсь - "пишите на cgi :) во ламер а PHP что изпользует по твоему ? "
    Болшестново багов - взломов иза кривости кода, самих
    же программистов - причом язык программирования любой!.
    Могу поспорить с кем угодно что можно написать код который будет взломан за 3 сек на любом языке php c#
    java .... В большенстве такой код и наблюдаем.
     
     
  • 2.35, Аноним (-), 13:47, 17/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Могу поспорить с кем угодно что можно написать код который будет взломан
    >за 3 сек на любом языке php c#
    >java .... В большенстве такой код и наблюдаем.

    Я написал на своей страничке Hello World. Взломай меня.
    :))))

     

  • 1.36, InkviZitor (?), 12:29, 19/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что вы все так взъелись на бедный PHP, с первого взгляда он ничотак.
    Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP!
     
     
  • 2.37, Ананимус (?), 13:58, 19/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >А что вы все так взъелись на бедный PHP, с первого взгляда
    >он ничотак.
    >Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP!
    >

    конечно УСАС(Убей сибя ап стену). Новички=быдлокодеры. Курите маны сначала...от корки до корки, 24 часа в сутки, 7 дней в неделю...

     

  • 1.40, HardKiller (?), 01:54, 20/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    господа, забываете что научиться программировать
    можно только постоянно как вы выражаетесь
    "быдлокодя". Еще никто первый раз взяв в руки
    гитару не сыграл "Trilogy Suite 5" Мальмстина.
    практика. а быдло - это те кто учиться не хотят.
     
  • 1.43, Roma (??), 00:38, 27/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хотелось бы спросить в крутых программеров какой язык безопасен ?
    почему ламают виндузу написанную на с++, не ужели в жабы нет проблем с безопастносью ?
     
     
  • 2.45, SmileSRG (?), 16:26, 24/02/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Хотелось бы спросить в крутых программеров какой язык безопасен ?
    >почему ламают виндузу написанную на с++, не ужели в жабы нет проблем
    >с безопастносью ?


    Проблемы с безопасностью, ИМХО, есть везде.
    Попробуй побороздить просторы Интернета, поискать язык ADA

    или зайти на http://faqs.org.ru, там точно есть FAQ по ADA.

     
     
  • 3.46, SmileSRG (?), 16:59, 24/02/2007 [^] [^^] [^^^] [ответить]  
  • +/
    http faqs org ru progr other_l adafaq htm Ada -- это доведенный до логического... большой текст свёрнут, показать
     

  • 1.44, Аноним (-), 00:00, 13/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О языках спорите... По-русски научитесь сначала :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру