Schlafen die PHP-Core-Entwickler?
März 20th, 2008
Stefan Esser aus dem Hardened-PHP Team, hat vor kurzem das PHP Security Response Team verlassen. Als Grund nannte er die sich häufenden Probleme beim Beheben von SIcherheitslücken im PHP-Core.
Sicherheitsexperten wie Stefan Esser, oder allgemein das Hardened-PHP Project, scheinen zunehmend dem PHP-Team den Rücken zu kehren.
Auf PHP-Security.org beispielsweiße, lästert man quasi ganz offen über Sicherheitsfehler im PHP-Kern. So veröffentlicht man dort Sicherheitslöcher und Probleme. Zu diesen fügt man jedoch die Zeit hinzu, die das PHP-Team braucht um das Loch zu fixen, oder zeigt auf, wie oft eine Lücke schon aufgetreten ist.
Ein Beispiel:
http://php-security.org/MOPB/PMOPB-46-2007.html
"This vulnerability is related to another vulnerability that was disclosed by us in 2006." [...] "And finally they did it again: Obviously "their fix" got lost in all the chaos and this vulnerability is not mentioned in the release announcement of PHP 5.2.3 at all."
Für eine Lücke, die eine doch nicht zu unterschätzende Wirkung hat, wohl doch etwas fahrlässig.
Doch was sagt uns das? Muss ein PHP-Entwickler nun auch vor den PHP-Löchern Angst haben, und nicht mehr nur vor seinen eigenen Fehlern?
Nein, eigentlich nicht. Natürlich muss man seine PHP-Verison immer aktüll halten und natürlich sollte man Dinge immer hinterfragen, jedoch sollte man nie vergessen, dass eindeutig immer noch die eigenen Fehler bzw die Fehler in PHP-Applikationen immer noch die häufigste Ursache für erfolgreiche Hacker-Angriffe sind.
Trotzdem sind diese Informationen wirklich beschämend für solch ein Projekt wie PHP. Vielleicht sollte den Entwicklern mal jemand zeigen, was Zeit und Aufwandsmanagement ist.
Weitere Beiträge zu diesem Thema:
Kommentar schreiben
Trackback dieses Beitrags | RSS Feed zu den Kommentaren
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>