Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)

[es] :: Advocacy :: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)

[ Pregleda: 3590 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 03:30 - pre 185 meseci
Kad smo već kod tih poznatih open source (tj. "muva bez glave") rešenja, da vidimo još malo vesti..

http://news.com.com/Researcher...02_3-6163822.html?tag=nefd.top

Citat:
Researcher launches Month of PHP Bugs

A security researcher has kicked off a project to put the spotlight on flaws in the widely used PHP scripting language.

The initiative, dubbed "Month of PHP Bugs," started on Thursday. Five vulnerabilities have so far been disclosed, several of which could allow a system running PHP to be compromised, according to the project Web site.
...
Applications written in PHP accounted for 43 percent of the total vulnerabilities reported in 2006, according to a tally by Security Focus, a security news Web site.


I ovi pričaju nekom nešto o sigurnosti MS rešenja? :)
Commercial-Free !!!
 
Odgovor na temu

cynique
Ivan Štambuk
[email protected]

Član broj: 93690
Poruke: 155
161.53.243.*

ICQ: 106979934
Sajt: istambuk.blogspot.com


Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 09:35 - pre 185 meseci
http://www.php-security.org/

PHP je jedna sigurnosna rupa bez dna, IE je milost božja prema njemu.

Jedan moj frend je ne tako davno fuzzerom (perl skriptuljinom od jedno 50-ak linija koda) otkrio 20-30 PHP rupa:

http://www.infigo.hr/hr/in_focus/advisories/INFIGO-2006-04-02

Uočite one dijelove:

Citat:
Code audit of the PHP discovered more than 20 vulnerabilities in PHP4 and PHP5.
Most of them were reported by third parties and fixed before publication of this
advisory. However, several vulnerabilities are still present in the latest PHP
version

...

No fix is available after more than 45 days from initial vendor contact.


Inače, ovaj lik Stefan Esser, idejni začetnik ovog projekta, je itekakva čunka po pitanjima PHP sigurnosti:

Citat:
Stefan Esser is the founder of both the Hardened-PHP Project and the PHP Security Response Team (which he recently left).


Svojedobno, kad je napustio PHP Security Response Team, rekao je da je popravljanje PHP sigurnosti "iznutra" potpuno jalov proces:

Citat:
Stefan Esser, PHP security specialist and member of the official PHP Security Response Team has, he says, had enough - in his blog he has announced his immediate resignation from the PHP Security Response Team. He states that he has various reasons for doing so, the most important of which is that his attempt to make PHP safer "from the inside" is futile. According to Esser, as soon as you try to criticise PHP security, you become persona-non-grata in the security team. In addition many of his suggestions were ignored because the developers considered Esser's choice of words, too abrasive. He says that he had stopped counting the number of times he was called a traitor when he published a bug report on a vulnerability in PHP.


Na svu sreću, postoje i PHP implementacije na superiornijim platformama, pa možete npr. postavljati i CAS polise nad PHP aplikacijama :)
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 09:36 - pre 185 meseci
@degojs:
yeah, a autor vecine tih splojtova je stefan esser autor poznatog open sorce rjesenja http://www.hardened-php.net/
NO FATE
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 14:54 - pre 185 meseci
^Pa? Šta to znači, da laže? Ne može da se proveri? Ako je čovek autor tog projekta, znači da zna o čemu priča, zar ne?

Osim toga, imati skoro 50% propusta od svih objavljenih propusta prošle godine.. mislim da je to stvarno uspeh za jedan projekat, proizvod, šta li je već? Koliko vidim to je nalaz druge firme, koja se bavi sigurnošću. Da nije i to neka zavera?


Smešno, kakva opravdanja nalazite za salatu od kupusa i švajcarskog sira.
Commercial-Free !!!
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 15:17 - pre 185 meseci
da pojasnim, ti svoju tezu o open source rjesenjima kao "muvi bez glave" argumentiras nekim projektom
stefana essera koji isto nudi open source rjesenje. (hardened-patch,suhosin)

a sto se tice opravdavanja php-a u to ne ulazim.


[Ovu poruku je menjao Impaler dana 08.03.2007. u 13:40 GMT+1]
NO FATE
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 16:22 - pre 185 meseci
^Kakve to ima veze koji čovek je to pokrenuo, ako su nalazi tačni? Prijatelju, ako ima propusta koliko nalaze, onda ih ima, a ti možeš da tražiš opravdanje u čemu god hoćeš i da umanjuješ značaj.

Osim toga, statistiku koja je dala ta druga firma koja se bavi sigurnošću generalno, vidim preskačeš, evo da ti ponovim, pošto ti je opet promaklo: skoro 50% od svih objavljenih propusta prošle godine je vezano za PHP. I ta statistika nema veze sa tim tipom.




Commercial-Free !!!
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)07.03.2007. u 17:10 - pre 185 meseci
ja ne opravdavam php. (ako se moram opredjelit ovdje sam na strani month of php bugs-a)
ti si reko za opensource rjesenja da su muve bez glave a ne samo za php
ili ja ne razumijem srpski? ;-)

ispravite me ako sam nesto krivo shvatio:
tu se radi o MOPB vs. PHP a degojs zeli to zapakirat kao MS rjesenja vs. open source rjesenja.

[Ovu poruku je menjao Impaler dana 07.03.2007. u 19:18 GMT+1]
NO FATE
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 03:23 - pre 185 meseci
Citat:
tu se radi o MOPB vs. PHP


Ajde još jednom da ti ponovim:
Citat:
Applications written in PHP accounted for 43 percent of the total vulnerabilities reported in 2006, according to a tally by Security Focus, a security news Web site.


Opet ne vidiš taj deo? :)

I jeste, PHP je jedna od tehnologija koja je izuzetno često vezana za druge opensource tehnologije (pa otud i LAMP, je li).

Commercial-Free !!!
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 09:45 - pre 185 meseci
vidim ja to dobro, nego mislim da ti ipak fali par statistickih informacija da bi iz toga izvlacio nekakve zakljucke,
informacije tipa:
- koliko posto od svih web aplikacija je pisano u php-u.
- koji su najcesci tipovi propusta koji se prijavljuju i jesu li ti propusti vezani samo za php aplikacije. (ovo npr)

stime da php aplikacije nisu iskljucivo vezane za LAMP. i opsensource rjesenja
i motb kao sto pise u tekstu ne cilja na php aplikacije nego na core php.


[Ovu poruku je menjao Impaler dana 08.03.2007. u 11:42 GMT+1]
NO FATE
 
Odgovor na temu

cynique
Ivan Štambuk
[email protected]

Član broj: 93690
Poruke: 155
161.53.243.*

ICQ: 106979934
Sajt: istambuk.blogspot.com


Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 12:07 - pre 185 meseci
Citat:
Impaler: vidim ja to dobro, nego mislim da ti ipak fali par statistickih informacija da bi iz toga izvlacio nekakve zakljucke,
informacije tipa:
- koliko posto od svih web aplikacija je pisano u php-u.


Taj je podatak krajnje irelevantan. 43% svih sigurnosnih propusta u svim aplikacijama na svim OS-evima su rupe u PHP aplikacijama. Da je PHP jedan jedini razvojni framework ajde i nekako, ali danas kad ih postoji doslovno na tisuće, to je nebitno. Ovako se statistički isticati može samo po dizajnu defektna platforma koja je magnet za rupe.

Citat:
- koji su najcesci tipovi propusta koji se prijavljuju i jesu li ti propusti vezani samo za php aplikacije.

(ovo npr)


I to je nebitno, jer klase sigurnosnih propusta koje u nekim okruženjima možeš otkloniti na razini dizajna (recimo overflowi i općenito memory-corruption bugovi u typesafe jezicima) pa ti ovakvo uspoređivanje ide u kategoriju babe i žabe.

Citat:
stime da php aplikacije nisu iskljucivo vezane za LAMP. i opsensource rjesenja
i motb kao sto pise u tekstu ne cilja na php aplikacije nego na core php.


Koliko sigurne mogu biti PHP aplikacije kad je sam PHP toliko šupalj?

Što ti uopće želiš pokazati ovakvom argumentacijom?

Stefan je osnivač PHP security tima kojeg je napustio jer, citiram, "uzaludno je PHP učiniti sigurnim iznutra". Ako možeš hardenati PHP eksternim wrapperom, možeš ga i iznutra, iz čega slijedi da su sve rupčage u PHP aplikacijama otklonjive na razini dizajna ujedno i rupe u PHP-u.
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 12:48 - pre 185 meseci
je li naslov ovog topica Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)?
i sada se ja pitam koja je povezanost koristenja MOPB u argumentaciji protiv opensource rjesenja. ako znamo da i Stefan Esser koji pise te splojteve u MOPB-u nudi opensource rjesenja. i zasto nebi php aplikacije bile komercijalno rjesenje?
i ono sto se pojavljuje u ovom topicu osim toga je izjednacavanje samog php-a i php aplikacija.
rupčage u php(core) dizajnu mogu i nemoraju znacit da ce i aplikacije imati rupe.

[Ovu poruku je menjao Impaler dana 08.03.2007. u 14:12 GMT+1]
NO FATE
 
Odgovor na temu

cynique
Ivan Štambuk
[email protected]

Član broj: 93690
Poruke: 155
161.53.243.*

ICQ: 106979934
Sajt: istambuk.blogspot.com


Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 13:13 - pre 185 meseci
Citat:
Impaler: e, i sada se ja pitam koja je povezanost koristenja MOPB u argumentaciji protiv opensource rjesenja. ako znamo da i Stefan Esser koji pise te splojteve u MOPB-u nudi opensource rjesenja.


Da je PHP komercijalni produkt iza kojeg stoji ozbiljno pravno lice, i da je Stefan lead project manager za sigurnosni aspekt projekta, zaista misliš da bi se na njegove zahtijeve neki developer usudio oglušiti? Ovako nitko nikome nije odgovoran (ipak svi volontiraju, jelte), te sklonost stvaranju interesnih skupina ("on tamo neki novi antipatični geek nama govori kako nam je kod šupalj - mrš stoko") ne uzrokuje rješavanje problema u interesu krajnjih korisnika, već u interesu developera.

Citat:
i ono sto se pojavljuje u ovom topicu osim toga je izjednacavanje samog php-a i php aplikacija.


Iskreno, teško je i zaključiti koji je od ta 2 manje šupalj :)

Citat:
rupčage u php(core) dizajnu mogu i nemoraju znacit da ce i aplikacije imati rupe.


Ne znači, ali 43% svih ukupnih prijavljenih sigurnosnih propusta teško da je iskljuičivo do traljavosti programera.
 
Odgovor na temu

Impaler

Član broj: 89808
Poruke: 80



+20 Profil

icon Re: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)08.03.2007. u 13:51 - pre 185 meseci
Citat:
Da je PHP komercijalni produkt iza kojeg stoji ozbiljno pravno lice, i da je Stefan lead project manager za sigurnosni aspekt projekta, zaista misliš da bi se na njegove zahtijeve neki developer usudio oglušiti? Ovako nitko nikome nije odgovoran (ipak svi volontiraju, jelte), te sklonost stvaranju interesnih skupina ("on tamo neki novi antipatični geek nama govori kako nam je kod šupalj - mrš stoko") ne uzrokuje rješavanje problema u interesu krajnjih korisnika, već u interesu developera.
da je php komercijalni produkt vjerojatno bi ga isto naprdili. i u takvom okruzenju mogu postojati interesne skupine.(MOAB)

[Ovu poruku je menjao Impaler dana 08.03.2007. u 15:11 GMT+1]
NO FATE
 
Odgovor na temu

[es] :: Advocacy :: Month of PHP Bugs (serijal: razvojni model "muva bez glave" (TM) cynique)

[ Pregleda: 3590 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.