OpenNews: Эксперт по безопасности покидает команду PHP. Патчи для контроля почты

14.12.2006 22:12 Эксперт по безопасности покидает команду PHP. Патчи для контроля почты

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Действительно, проблемы безопасности в PHP исправляются очень долго (в текущем дереве CVS находятся исправление проблем безопасности, которых пользователи ждут уже 6 месяцев), на них не обращается первоочередного внимания. Проблемы поднимаемые Stefan Esser просто игнорировали в PHP security team. Часто исправление ошибки приводило за собой появление новых ошибок.

Примечательно, что Stefan не прекращает исследование проблем PHP, он лишь меняет принцип работы, раньше он сразу сообщал об ошибках разработчикам и ждал пока ошибку исправят, прежде чем публично опубликовать информацию. Теперь же он будет публиковать результаты своих исследований не взирая на наличие исправлений в PHP.

В заключение, Ilia Alshanetsky опубликовал просто необходимый для систем массового хостинга патч к mod_php. Патч позволяет вести полный лог отправки сообщений по электронной почте через функцию mail(), а также включать в тело письма заголовок с уточнением из какого именно скрипта и от какого пользователя осуществлена отправка.

Ссылки к новости:

исправить +/–

Тип: Тема для размышления

Ключевые слова: php, security, patch, spam, mail, (найти похожие документы)

При перепечатке указание ссылки на opennet.ru обязательно

Реклама

Обсуждение

Ajax режим | Показать все | RSS

1.1, smb, 22:49, 14/12/2006 [ответить] [смотреть все]	+/–
Мда Интересно, что будет дальше? Тенденция-с, господа..

1.2, пИнгвин, 22:55, 14/12/2006 [ответить] [смотреть все]	+/–
А ничего, нормально, линию поведения (публикацию инф-ии об ошибках) г-н Stefan Esser выбрал правильную на мой взгляд.

2.3, Mikk, 23:28, 14/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Да, замечательно Stefan Esser будет публиковать уязвимости, а в комментариях бу... весь текст скрыт [показать] [показать ветку]

3.9, Halyava, 09:02, 15/12/2006 [ответить] [смотреть все]	+/–
ТОгда может и по отношению к ядру так же сделаем Самый правильный шаг для OSF и... весь текст скрыт [показать]

1.4, nuclight, 00:40, 15/12/2006 [ответить] [смотреть все]	+/–
Да, дождались. Отдельные люди говорили, что PHP крив до безобразия, не верили - так теперь все могут наблюдать уже воочию. Stefan Esser молодец, так держать. Падающего - толкни (с).

2.7, Квагга, 07:27, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Ага Проекты с сотнями инсталляций Толкните 100 млн иснталляций PHP Только не... весь текст скрыт [показать] [показать ветку]

1.5, kron, 01:41, 15/12/2006 [ответить] [смотреть все]	+/–
прощай, безобразно-уродливый пых

1.8, tug, 08:37, 15/12/2006 [ответить] [смотреть все]	+/–
PHP - убожесто как и все web языки, но больше всего в данной ситуации он напоминает огромный боинг при аварийной посадке, т.е. проекты на нём есть и будут, даже если при движении у него постепенно отваливаются шасси и крылья. Ну и конечно это отличное решение для тех, кому нужен быстрый результат для получения денег (любые средние web студии), а качество... качество естественно в asshole. Хочется надеяться, что придёт новая платформа для веб проектов (даже если ява станет доступна на массовых хостингах), которая потеснит быстрые решения вроде php и всяких там ruby, но пока в это верится с таким же трудом как и в то, что *nix это ОС для конечного пользователя.

2.10, Некто, 09:08, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
вы руби-то видели а RoR что-то мне подсказывает, что даже когда осуществитс... весь текст скрыт [показать] [показать ветку]

3.30, tug, 06:14, 16/12/2006 [ответить] [смотреть все]	+/–
Видел Тоже видел, прикольно Я даже PoR видел, а Вы http www megginson co... весь текст скрыт [показать]

4.41, Аноним, 22:20, 25/12/2006 [ответить] [смотреть все]	+/–
Угу, мля, а чем оно хуже то Бревна, бревна на сях написаны целые операционки,... весь текст скрыт [показать]

5.49, Pilat, 14:33, 01/03/2010 [ответить] [смотреть все]	+/–
Не хочу шокировать уважаемого безымянного, но С был создан именно для написания ... весь текст скрыт [показать]

2.18, Аноним, 16:37, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
аха-ха, насмешил новая платформа не приходит из неоткуда, это я вам по секре... весь текст скрыт [показать] [показать ветку]

3.42, Аноним, 22:25, 25/12/2006 [ответить] [смотреть все]	+/–
Самое прикольное что если те кто юзал php пойдут юзать ROR или Java, дыр будет р... весь текст скрыт [показать]

....нить скрыта, показать (6)

1.11, sa10, 10:08, 15/12/2006 [ответить] [смотреть все]	+/–
ИМХО все это PR конкретной персоны. Не осуждаю, нельзя не замечать такий людей. Но PHP такой же дырявый как и любой другой софт. Статистики никто не приводит, но если даже дырки обнаруживаются чаще, то только потому что PHP чаще используется. Все нормально, ставьте php_hardened, осмысленно прямыми руками правьте php.ini и вперед, не забывая про то, что за защитой надо следить.

2.13, Oxyum, 10:56, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
А вы сами-то ставили свой php_hardened Я вот ставил И меня не прикололо само... весь текст скрыт [показать] [показать ветку]

3.14, sa10, 11:05, 15/12/2006 [ответить] [смотреть все]	+/–
СтоИт больше года, но хостингом я не промышляю Для клиентов правильнее виртуало... весь текст скрыт [показать]

1.12, Demimurych, 10:39, 15/12/2006 [ответить] [смотреть все]	+/–
Да как сказать. По случаю пришлось ковырять e107. Такая CMS бесплатная. Налось пара серьезных проблем. Повесил в баг трак. Висели две недели без отзывов. Повесил javascript на заглавную - alert(varning vulnerability.) исправили за час. Так что я думаю он прав.

1.15, Аноним, 14:37, 15/12/2006 [ответить] [смотреть все]	+/–
PHP не может умереть куда деваться сотням голодных быдлокодеров Но нет, товарищ... весь текст скрыт [показать]

2.16, Demimurych, 14:55, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Колличество так иди иначе перейдет в качество Уже сейчас я видел в тендерах на ... весь текст скрыт [показать] [показать ветку]

2.19, logan, 16:40, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Эх, где же ты, мифическая альтернатива PHP Неужели ASP от micro oft Не верю ... весь текст скрыт [показать] [показать ветку]

2.21, michelle, 17:58, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Парниша - иди разглагольствовать насчет быдлокодеров на ЛОР Быдлокодеры есть с ... весь текст скрыт [показать] [показать ветку]

3.23, Аноним, 19:15, 15/12/2006 [ответить] [смотреть все]	+/–
Товарисчь, успокойтесь, берегите нервы, я не собираюсь разводить холи вар изза т... весь текст скрыт [показать]

4.28, michelle, 22:37, 15/12/2006 [ответить] [смотреть все]	+/–
Я сам работаю с PHP уже лет 5 Просто надоело слышать быдлокодер по отношению т... весь текст скрыт [показать]

5.29, Аноним, 23:57, 15/12/2006 [ответить] [смотреть все]	+/–
Дык епт, товарищ,быдлокодер ето состояние ума а не направление ЯП технология ... весь текст скрыт [показать]

6.31, michelle, 11:38, 16/12/2006 [ответить] [смотреть все]	+/–
А вот с этими словами я 1000 согласен ... весь текст скрыт [показать]

....нить скрыта, показать (7)

1.17, leon55, 16:20, 15/12/2006 [ответить] [смотреть все]	+/–
пишите на перле, господа ,))

2.20, Dvorkin, 16:47, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
вот это asshole точно ... весь текст скрыт [показать] [показать ветку]

1.22, www.andr.ru, 18:30, 15/12/2006 [ответить] [смотреть все]	+/–
зачем вообще изобретать велосипед, если есть CGI? пиши на чём угодно, хоть на ассемблере. геморрой сами себе выдумали.

1.24, HardKiller, 19:23, 15/12/2006 [ответить] [смотреть все]	+/–
CMS на ассемблере это ЛОЛ. надо будет панкам знакомым рассказать.

1.25, Oles, 20:00, 15/12/2006 [ответить] [смотреть все]	+/–
Реально никакой баги не опубликовали а крика всё равно что конец света начал наступать. Токма не пойму откуда столько ненависти у людей к продукту который они не используют? Нравится питон или руби - дык вперёд, используй. А по секрету я скажу что "90%" написаных на чём угодно программ - убожество. Потому что "быдлокодеров" такой же процент. Таким был и будет всегда.

2.26, uF0, 20:53, 15/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Потому что 85 это закрытый софт, за который тебя не будут публично высмеивать и... весь текст скрыт [показать] [показать ветку]

1.27, Аноним, 22:24, 15/12/2006 [ответить] [смотреть все]	+/–
Ну ушел что изменилось ну будут эксплоиты значить придеться занятся безопасно... весь текст скрыт [показать]

1.32, Аноним, 13:32, 16/12/2006 [ответить] [смотреть все]	+/–
Вот я пишу на бумаге ручкой иногда карандашом все нормально ни кому пока не уд... весь текст скрыт [показать]

2.33, Анонимус, 15:03, 16/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Хм какие вы здесь На мой лично взгляд проблема заключается даже не в кривор... весь текст скрыт [показать] [показать ветку]

1.34, Roma, 00:59, 17/12/2006 [ответить] [смотреть все]	+/–
Я поражаюсь - "пишите на cgi :) во ламер а PHP что изпользует по твоему ? " Болшестново багов - взломов иза кривости кода, самих же программистов - причом язык программирования любой!. Могу поспорить с кем угодно что можно написать код который будет взломан за 3 сек на любом языке php c# java .... В большенстве такой код и наблюдаем.

2.35, Аноним, 13:47, 17/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
Я написал на своей страничке Hello World Взломай меня ... весь текст скрыт [показать] [показать ветку]

1.36, InkviZitor, 12:29, 19/12/2006 [ответить] [смотреть все]	+/–
А что вы все так взъелись на бедный PHP, с первого взгляда он ничотак. Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP!

2.37, Ананимус, 13:58, 19/12/2006 [ответить] [смотреть все] [показать ветку]	+/–
>А что вы все так взъелись на бедный PHP, с первого взгляда >он ничотак. >Кстати, с чего бы вы посоветовали начинать писать сайты новичку? Конечно PHP! > конечно УСАС(Убей сибя ап стену). Новички=быдлокодеры. Курите маны сначала...от корки до корки, 24 часа в сутки, 7 дней в неделю...

1.40, HardKiller, 01:54, 20/12/2006 [ответить] [смотреть все]	+/–
господа, забываете что научиться программировать можно только постоянно как вы выражаетесь "быдлокодя". Еще никто первый раз взяв в руки гитару не сыграл "Trilogy Suite 5" Мальмстина. практика. а быдло - это те кто учиться не хотят.

1.43, Roma, 00:38, 27/12/2006 [ответить] [смотреть все]	+/–
Хотелось бы спросить в крутых программеров какой язык безопасен ? почему ламают виндузу написанную на с++, не ужели в жабы нет проблем с безопастносью ?

2.45, SmileSRG, 16:26, 24/02/2007 [ответить] [смотреть все] [показать ветку]

+/–

>Хотелось бы спросить в крутых программеров какой язык безопасен ?
>почему ламают виндузу написанную на с++, не ужели в жабы нет проблем
>с безопастносью ?

Проблемы с безопасностью, ИМХО, есть везде.
Попробуй побороздить просторы Интернета, поискать язык ADA

или зайти на http://faqs.org.ru, там точно есть FAQ по ADA.

3.46, SmileSRG, 16:59, 24/02/2007 [ответить] [смотреть все]	+/–
http faqs org ru progr other_l adafaq htm Ada -- это доведенный до логического... весь текст скрыт [показать]

1.44, Аноним, 00:00, 13/02/2007 [ответить] [смотреть все]	+/–
О языках спорите По-русски научитесь сначала ... весь текст скрыт [показать]

Ваш комментарий