Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В PHPMailer выявлена ещё одна критическая уязвимость, вызван..., opennews (??), 29-Дек-16, (0) [смотреть все] Не из-за особенностей , а из-за его дизайна сообщение отредактировано модер, Аноним (-), 10:22 , 29-Дек-16, (1) +8   // Это одно и то же , Аноним (-), 10:25 , 29-Дек-16, (2)   // кэп - P S Народ совершенно перестал воспринимать сарказм без закадрового смеха, Аноним (-), 10:27 , 29-Дек-16, (3)   какие мы грозные а может все таки кривой RFC , Square1 (?), 10:34 , 29-Дек-16, (4) –2   // Плохому программисту RFC мешает , Неиилюзорная Фтопка Локалхоста (?), 10:36 , 29-Дек-16, (5) +17   проблемы в данном случае- возникают из нелепого RFC Потом у что на практике - т, Square1 (?), 10:38 , 29-Дек-16, (6) –6   Ага знаем мы как ПХП разработчики перекладывают свои болезни на более квалифицир, Аноним (-), 10:41 , 29-Дек-16, (7) +1   Ну перепишут sendmail как модуль расширения на си, доволен , Аноним (-), 10:44 , 29-Дек-16, (8)   Дык давно уже нужно было писать модуль для smtp, а не все подряд звать через exe, Sw00p_aka_Jerom (ok), 13:04 , 29-Дек-16, (30)   Такие модули есть такие и в phpmailer-е, и в swiftmailer-е Это не значит, что не, KonstantinB (ok), 18:35 , 29-Дек-16, (48) –1   Речь шла о smtp модуле php написанном на С, а так на самом php любой модуль можн, Sw00p aka Jerom (?), 16:20 , 30-Дек-16, (58)   Проблемы в данном случае возникают из-за того, что функция mail четвертым и пяты, angra (ok), 12:46 , 29-Дек-16, (21) +6   Нет, проблема возникает из-за идиота, который писал реализацию mail в PHP , KonstantinB (ok), 18:33 , 29-Дек-16, (47) +4   В мемориз , Lander (??), 11:01 , 29-Дек-16, (11) +4   RFC трудились писали, переписывали много - пришли php кодеры и давай всех обгажи, Аноним (-), 11:04 , 29-Дек-16, (12) +3   если вы пишите по стандарту и в результате получается жопа - то это проблема с, Square1 (?), 11:20 , 29-Дек-16, (14) –5   Если разработчики не могут безопасно реализовать стандарт, то это проблема разра, Аноним (-), 12:49 , 29-Дек-16, (22) +5   Безопасно реализовать стандарт Эт как У вас рфс написано как это делать Ой п, Sw00p_aka_Jerom (ok), 13:11 , 29-Дек-16, (33) –5   Эти символы и в именах файлов, например, разрешены И ничего, все живы до сих по, Crazy Alex (ok), 13:15 , 29-Дек-16, (36) +2   ага слеш разрешён в качестве имени файла, Sw00p aka Jerom (?), 17:44 , 29-Дек-16, (44) –1   Писали трудились, писаки что ли Покажите мне код где реализована эта фуллвая сп, Sw00p_aka_Jerom (ok), 13:07 , 29-Дек-16, (31) –1   это НЕ кодеры -- они даже PHP не осилили кодеры молча кодят и у них всё работа, Аноним (-), 06:25 , 30-Дек-16, (57) +1   вы просто потакаете безответственности и халатности RFC подкладывающий мину зам, Square1 (?), 11:18 , 29-Дек-16, (13) –4   Владимир Владимирович , angra (ok), 12:49 , 29-Дек-16, (23) –2   При чем тут RFC, когда в PHP банально используют shell для запуска внешних проце, Аноним (-), 12:58 , 29-Дек-16, (26) +5   https github com php php-src commit 8f4050709c833b9d42cd65349b7747f8e61d171f, Аноним (-), 10:50 , 29-Дек-16, (9) // ext filter tests 058 phpt ver 238 , VER 206 ver 238 ver, Sw00p aka Jerom (?), 17:52 , 29-Дек-16, (46) –2 кучно пошли, бедный буратино (ok), 10:54 , 29-Дек-16, (10) Баг закрыли багом Эпично , Онаним (?), 11:27 , 29-Дек-16, (15) +2 // это же пхп что от них ожидали, анан (?), 11:30 , 29-Дек-16, (16) И ведь, его такого особенного, ещё кто-то в 2017 будет юзать Поздравляю , th3m3 (ok), 12:05 , 29-Дек-16, (17) // не кто то а большинство юзает и будет узать и кол-во пользователей будет только, Аноним (-), 12:35 , 29-Дек-16, (19) // Да, а вот Гугл Тренды с тобой не согласятся Для веба, будет стандартом де факт, th3m3 (ok), 21:14 , 29-Дек-16, (51) // Не знаю как где а у нас по Украине в этом году JavaScript отобрал третье место у, Arcade (ok), 23:51 , 29-Дек-16, (53) –1 Угу, скорость у жс вменяемая, уникального ie больше нет, и пусть клиент сам себе, cmp (ok), 00:24 , 30-Дек-16, (54) не ктото а большинство а в будущем и все перейдут на PHP, Аноним (-), 12:36 , 29-Дек-16, (20) –3 Например, все те миллионны форумов, которые используют phpBB https en wikiped, Аноним (-), 13:07 , 29-Дек-16, (32) –1 следующая новость ахтунг в php обнаружена уязвимость в функциях system и exec , Аноним (-), 12:19 , 29-Дек-16, (18) +5 // О сколько нам открытий чудных готовит просвещенья дух с , Анонимен (?), 12:51 , 29-Дек-16, (24) т е кто-то не фильтрует входящие данные, а виноват пхп лол, Аноним (-), 12:52 , 29-Дек-16, (25) // Да, виноват PHP, так как входящие данные полностью соответствуют RFC , Аноним (-), 13:00 , 29-Дек-16, (28) +2 // ну так sql injection тоже проходит в стандарт, давайте теперь не будет проверять, Аноним (-), 13:14 , 29-Дек-16, (34) +1 // Дык, разработчкик PHP Mailer и проверяют данные, но , рлрлро (?), 14:20 , 29-Дек-16, (39) +1 Да, виноват похапе Обезьяны не осилили exec и продолжают юзать system , Аноним (-), 13:25 , 29-Дек-16, (38) +4 Еще лет 15 назад я на всех своих серваках сделал симлинк usr sbin sendmail на , Тот самый (?), 14:53 , 29-Дек-16, (40) // А еще от php кодеров требуется серьезная защита В php ini обязательно должно бы, Тот самый (?), 15:06 , 29-Дек-16, (41) // В контексте этой новости в этот список еще надо добавить mail - , KonstantinB (ok), 01:01 , 30-Дек-16, (55) // Я бы добавил disable_functions и забиндил пхп процесс на другой ЯзыкП , ACDC (?), 01:19 , 30-Дек-16, (56) угу, а когда тебе надо поставить что-то, что должно отправлять почту - ты сам бы, Аноним (-), 15:18 , 29-Дек-16, (42) +1 // Бвахахаха У меня наоборот получилось Когда прогеры начали жаловаться что не вся, Arcade (ok), 18:49 , 29-Дек-16, (49) –1 Чегож с тебя так ядовитое дерьмо прет Совсем неудачник по жизни Соберись с сил, Тот самый (?), 00:02 , 31-Дек-16, (59) Действительно, не читать же в самом деле админу локалхоста системную почту , angra (ok), 16:33 , 29-Дек-16, (43) А я нихрена не делал, я подождал когда ко мне прийдут с вопросом А почему нас п, Arcade (ok), 18:52 , 29-Дек-16, (50) Итак, исходя из куска кода mail new PHPMailer email_from attacker -o, Аноним (-), 05:11 , 31-Дек-16, (60) 1,9,10,15,17,18,25,40,60

Сообщения

[Сортировка по времени | RSS]

1. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+8 +/–
Сообщение от Аноним (-), 29-Дек-16, 10:22
> Из-за особенностей PHP Не из-за "особенностей", а из-за его  "дизайна". [сообщение отредактировано модератором]
Ответить | Правка | Наверх | Cообщить модератору

	2. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
	Сообщение от Аноним (-), 29-Дек-16, 10:25
	>Не из-за "особенностей", а из-за его  "дизайна". Это одно и то же.
	Ответить | Правка | Наверх | Cообщить модератору

	3. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
	Сообщение от Аноним (-), 29-Дек-16, 10:27
	кэп :-) P.S. Народ совершенно перестал воспринимать сарказм без закадрового смеха или аршинной таблички.
	Ответить | Правка | Наверх | Cообщить модератору

	4. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–2 +/–
	Сообщение от Square1 (?), 29-Дек-16, 10:34
	>>Не из-за "особенностей", а из-за его  "дизайна". > Это одно и то же. какие мы грозные. а может все таки кривой RFC?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	5. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+17 +/–
	Сообщение от Неиилюзорная Фтопка Локалхоста (?), 29-Дек-16, 10:36
	Плохому программисту RFC мешает.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–6 +/–
	Сообщение от Square1 (?), 29-Дек-16, 10:38
	> Плохому программисту RFC мешает. проблемы в данном случае- возникают из нелепого RFC. Потом у что на практике - то что RFC допускает - не используется в 99,99999% случаев.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+1 +/–
	Сообщение от Аноним (-), 29-Дек-16, 10:41
	Ага знаем мы как ПХП разработчики перекладывают свои болезни на более квалифицированных.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
	Сообщение от Аноним (-), 29-Дек-16, 10:44
	Ну перепишут sendmail как модуль расширения на си, доволен?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	30. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
	Сообщение от Sw00p_aka_Jerom (ok), 29-Дек-16, 13:04
	Дык давно уже нужно было писать модуль для smtp, а не все подряд звать через exec. Пс: ответственость тут лежит пополам как на пхп, так и на хорошем примере как не надо писать рфс, рфс на все случаи жизни. Думаю нужно от таких рфс избавляться, ярчайщий пример безалаберства проектировщика
	Ответить | Правка | Наверх | Cообщить модератору

	48. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–1 +/–
	Сообщение от KonstantinB (ok), 29-Дек-16, 18:35
	> Дык давно уже нужно было писать модуль для smtp, а не все > подряд звать через exec. Такие модули есть такие и в phpmailer-е, и в swiftmailer-е. Это не значит, что не надо править уязвимость в модуле, отправляющем через mail(). Совсем его выпилить не получится из-за популярности php на shared-хостингах, где и исходящие соединения по 25-му порту, и семейство exec-функций могут быть запрещены - и оставлена только функция mail().
	Ответить | Правка | Наверх | Cообщить модератору

	58. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
	Сообщение от Sw00p aka Jerom (?), 30-Дек-16, 16:20
	Речь шла о smtp модуле php написанном на С, а так на самом php любой модуль можно написать. И идея была в том, чтобы реализовать его в место поделки вроде функции mail.   >>Совсем его выпилить не получится из-за популярности php на shared-хостингах, где и исходящие соединения по 25-му порту, и семейство exec-функций могут быть запрещены - и оставлена только функция mail(). Если исходящие по 25 порту соединения запрещены (а запрещены конкретно пхп или серверу?), то и mail функция работать не будет. пс: Жутко плохая практика использовать вебсервер в качестве отправщика почты, дык легче с пхп коннектиться к гмейлу и отправлять через него.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+6 +/–
	Сообщение от angra (ok), 29-Дек-16, 12:46
	Проблемы в данном случае возникают из-за того, что функция mail четвертым и пятым параметром принимает не значение одного аргумента как to, from и msg, которое сама экранирует и подставляет в sendmail, а произвольную строку в качестве _набора_ дополнительных аргументов для sendmail. А вот тут с экранированием возникают некоторые проблемы. Принимала бы вместо строки ассоциативный массив, не было бы проблем.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	47. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+4 +/–
	Сообщение от KonstantinB (ok), 29-Дек-16, 18:33
	Нет, проблема возникает из-за идиота, который писал реализацию mail() в PHP.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	11. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+4 +/–
	Сообщение от Lander (??), 29-Дек-16, 11:01
	>Плохому программисту RFC мешает. В мемориз!!
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	12. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+3 +/–
	Сообщение от Аноним (-), 29-Дек-16, 11:04
	RFC трудились писали, переписывали много - пришли php кодеры и давай всех обгаживать.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–5 +/–
	Сообщение от Square1 (?), 29-Дек-16, 11:20
	> RFC трудились писали, переписывали много - пришли php кодеры и давай всех > обгаживать. если вы пишите "по стандарту" и в результате получается жопа - то это проблема стандарта а не кодеров.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+5 +/–
	Сообщение от Аноним (-), 29-Дек-16, 12:49
	Если разработчики не могут безопасно реализовать стандарт, то это проблема разработчиков, а не стандарта.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–5 +/–
	Сообщение от Sw00p_aka_Jerom (ok), 29-Дек-16, 13:11
	Безопасно реализовать стандарт? Эт как? У вас  рфс написано как это делать? Ой простите ваш рфс не знал что некоторые символы разрешенные оказывается являются спец операторами в коммандной оболочке, ой Господи  прости меня за кощунства против рфс, во всем виноват пхп и сендмейл который принимает аргументы в коммандной строке, а не интерактивно
	Ответить | Правка | Наверх | Cообщить модератору

	36. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+2 +/–
	Сообщение от Crazy Alex (ok), 29-Дек-16, 13:15
	Эти символы и в именах файлов, например, разрешены. И ничего, все живы до сих пор. Может, всё-таки, стоит помеьше дёргать шелл, а если дёргать - обеспечивать вменяемую передачу параметров вместо надежды на то, что сам шелл разберётся?
	Ответить | Правка | Наверх | Cообщить модератору

	44. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–1 +/–
	Сообщение от Sw00p aka Jerom (?), 29-Дек-16, 17:44
	ага слеш разрешён в качестве имени файла
	Ответить | Правка | Наверх | Cообщить модератору

	31. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–1 +/–
	Сообщение от Sw00p_aka_Jerom (ok), 29-Дек-16, 13:07
	Писали трудились, писаки что ли? Покажите мне код где реализована эта фуллвая спека рфс
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	57. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+1 +/–
	Сообщение от Аноним (-), 30-Дек-16, 06:25
	> пришли php кодеры и давай всех обгаживать. это НЕ кодеры -- они даже PHP не осилили.  кодеры молча кодят и у них всё работает.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	13. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–4 +/–
	Сообщение от Square1 (?), 29-Дек-16, 11:18
	вы просто потакаете безответственности и халатности. RFC подкладывающий "мину замедленного действия" - из -за недодуманности, или "и так сойдет" , или  "а давайте и эту хрень воткнем" - плохой RFC.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	23. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	–2 +/–
	Сообщение от angra (ok), 29-Дек-16, 12:49
	Владимир Владимирович?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+5 +/–
	Сообщение от Аноним (-), 29-Дек-16, 12:58
	> RFC подкладывающий "мину замедленного действия" При чем тут RFC, когда в PHP банально используют shell для запуска внешних процессов с передачей им списка аргументов в виде строки, вместо того чтобы выполнить exec с раздельной передачей аргументов. Это кривость рук чистой воды и стандарт никоим образом не должен её прикрывать. > из -за недодуманности, или "и так сойдет" , или  "а давайте и эту хрень воткнем" - плохой RFC. Возможность использование пробелов в недоменной части email ничем не хуже использования пробелов в недоменной части URL, и никто про кривость стандартов там никто и не подумает кричать, ибо привыкли к нормальному экранированию.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема