https://www.opennet.ru/openforum/vsluhforumID3/91275.html Представлены (http://php.net/archive/2013.php#id2013-08-16-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013-4248), вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (https://bugs.php.net/bug.php?id=65236) (CVE-2013-4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента. <br><br><br>Из изменений также можно отметить реализацию поддержки защищённых сессий (https://wiki.php.net/rfc/strict_sessions), позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима п https://www.opennet.ru/openforum/vsluhforumID3/91275.html#14 Wed, 21 Aug 2013 11:56:30 GMT Онаним не пониматель, онаним пейсатель на пэхэпэ.<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#13 Tue, 20 Aug 2013 04:19:49 GMT &gt; Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.<br><br>Китайский - тот же русский, только в картинках.<br><br>Достаточно понимать хотя бы разницу между строгой и нестрогой типизацией, чтобы не нести такой ахинеи.<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#12 Mon, 19 Aug 2013 19:12:53 GMT https://code.google.com/p/naxsi/<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#11 Mon, 19 Aug 2013 16:05:36 GMT &gt; В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует.<br><br>Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#10 Mon, 19 Aug 2013 09:42:07 GMT В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. А править руки тысячам PHP-кодеров -- задача непосильная для анонимных анатиликов опеннета :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#9 Mon, 19 Aug 2013 07:46:58 GMT &gt;Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена. <br><br>Кто должен править твои руки что бы ты писал безопасный код?<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#8 Sat, 17 Aug 2013 23:26:32 GMT Кто напишет "PHP не решето" - тот погрешит против истины.<br><br>Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена. <br><br>А большинство проектов - родом из php &lt;= 5.2, для них новые возможности - как серпом по яйцам, поэтому там делая фабрика по переизобретению колёс, которая безопасности совсем не добавляет.<br><br>Поэтому все всё давно поняли, и дальнейшее обсуждение этого животрепещущего вопроса - бесполезно. Не надо провоцировать скандалы.<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#6 Sat, 17 Aug 2013 16:22:39 GMT для тех кто напишет "PHP - решето" - CVE-2013-4248 присутствует и в Ruby тоже<br> https://www.opennet.ru/openforum/vsluhforumID3/91275.html#4 Sat, 17 Aug 2013 13:53:51 GMT Ни прошло и 100 лет!!!<br><br>https://github.com/php/php-src/commit/84f9213e00ae624e789ec0ed8f023c22a557d215#sapi/cgi/cgi_main.c<br>