https://www.opennet.ru/openforum/vsluhforumID3/75661.html История (http://www.opennet.ru/opennews/art.shtml?num=29969) со взломом wiki-сайта проекта PHP получила продолжение. На нескольких китайских ресурсах, посвященных компьютерной безопасности, появилось (http://www.wooyun.org/bugs/wooyun-2010-01635) заявление (http://www.luochunhui.com/id/1159) (сообщение на китайском языке, перевод (http://translate.google.com/translate?js=n&prev=_t&hl=ru&ie=UTF-8&layout=2&eotf=1&sl=auto&tl=en&u=http%3A%2F%2Fwww.luochunhui.com%2Fid%2F1159) на английский) об успешном проведении подстановки кода в исходные тексты интерпретатора PHP. В уведомлении также утверждается, что кроме wiki.php.net был получен доступ к другим хостам инфраструктуры PHP, а также перехвачены параметры входа для нескольких аккаунтов участников проекта. Судя по тексту заявления подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP (в сети присутствуют упоминания заинтересованности спецслужб Китая в совершении данно...<br><br>URL: http://news.ph https://www.opennet.ru/openforum/vsluhforumID3/75661.html#38 Thu, 28 Apr 2011 13:13:21 GMT &gt; Контроль целостности файлов проекта. Как минимум. Как максимум - получение прав коммитера, <br>&gt; не ставит автоматически центральную базу кода под угрозу. Секьюрити однако.<br><br>svn и другие не позволяют контролировать целостность файлов?<br><br>По поводу центральной базы - но так её ж нет у гита - сравнение не совсем корректно. Если слияние производит человек, не знающий что он вливает в свою ветку - угроза ровным счётом та же. Но спорить, что гит удобней - не буду. С одной стороны уже прочитал про его возможности, с другой - ещё ни разу не использовал.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#37 Thu, 24 Mar 2011 11:59:43 GMT а если найдут всё-таки бекдор (который по сути был подсадной уткой), а реально нацеленный и очень замаскированный не найдут, то это заявление специально лишь спровоцирует на обновление с уже внедрённым не найденным кодом.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#35 Wed, 23 Mar 2011 09:28:07 GMT &gt;&gt; Бронежилет и каска не увеличивают безопасность если лежат в шкафу.<br>&gt; grsecurity - это скорее не каска и жилет, а поллитра: выпил - <br>&gt; и не боишься.<br><br>руки надо иметь из правильного места. И да, RBAC еще никто не отменял. Запарка с правильной настройкой с лихвой компенсируется очень нехилым повышением безопасности. Собственно то же можно сказать и про SELinux, но он, в отличие от RBAC - ад и погибель, леденящий душу писец(я пробовал писать модули под него, плюнул и бросил)<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#34 Tue, 22 Mar 2011 22:51:50 GMT Это все в вакууме. Все что использую лично я - давно запилено на 5.3. Но у меня виртуальный хостинг и у кучи людей сайты не работающие с 5.3 и переделывать никто не собирается. Еще есть старые зазенденные скрипты (про дезенд, перепилку под 5.3 - тоже не тот случай). В итоге проблема для любого хостера. А еще некоторые веселые хостеры, могут ужить 5.2 и 5.3 на одном хосте, так что потом не жалуйтесь.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#33 Tue, 22 Mar 2011 22:06:20 GMT Сам факт безответственного поведения PHP разработчиков допустивших использование какого-то кривого Wiki.<br><br>Собственно в PHP есть же различные SAFE и noexec ключи безопасности? Или я ошибаюсь?<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#32 Tue, 22 Mar 2011 21:49:00 GMT 1) 5.3 вышел уже полтора года назад<br>2) в нем нет принципиальных несовместимостей с 5.2. Все, что ломает bc, описано в мане, и исправление даже проекта в сотни тысяч LOC займет пару дней (сам делал). При этом для кода, написанного не левой жопой (что редкость для похапе-прогромиздов, да) исправлений ваще не потребуется.<br><br>так что пострадают только те, кому пох*й.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#31 Tue, 22 Mar 2011 15:25:01 GMT &gt; Бронежилет и каска не увеличивают безопасность если лежат в шкафу.<br><br>grsecurity - это скорее не каска и жилет, а поллитра: выпил - и не боишься.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#30 Tue, 22 Mar 2011 15:22:25 GMT &gt;вот тут некий paxuser с пеной у рта доказывал что только применяя grsecurity и hardened патчи можно защитить ядро, и вообще дальше взлома php скрипта хацкеры никуда не должны были пробраться.<br><br>Реально защитить систему могут только своевременные обновления в сочетании с продуманной политикой контроля доступа (лучше всего мандатный контроль + контейнеры + правильные права/acl на файловой системе). А совсем для параноиков есть железобетонный метод - xen/kvm.<br><br>&gt;И тогда чем это лучше чем техники применяемые в OpenBSD?<br><br>В опенке применяется, по сути, всего одна техника - предельное урезание функциональности. Меньше кода - меньше потенциальных дыр. В большинстве случаев такая практика не дает оптимального результата, т.к. людям не нужен мега-защищенный, но ничего не умеющий сервер.<br>Но путь, выбранный grsecurity - "больше глюков, больше паник, и враг не пройдет" - все равно выглядит гораздо менее привлекательно.<br> https://www.opennet.ru/openforum/vsluhforumID3/75661.html#29 Tue, 22 Mar 2011 14:58:27 GMT &gt; Только в credits'ы дописался<br><br>значит был получен доступ на запись в исходники, и туда могли вставить что угодно. Атака прошла успешно, независимо от того внедряли ли туда что-то еще.<br>