BOFH sagt
"suboptimal routing experience"
Getaggte Artikel
article blackberry blogging blogtk cisco cms coding crunchix crypto database debian del.icio.us encfs firewall freebsd fun google ha hacking hacks honeypot insipid jabber lighttpd linux mail md5 ml370 moblogging network nmap openbsd openvz personal phrack plone portknocking privacy python rant review rootforum security serendipity server spam ssh thinkpad tool tor tutorial ubuntu uni vm vserver wifi wiki work xen zimbra
Blogroll
Rechtliches
Tuesday, 19. December 2006
Pretty Hard to Protect
Ich hab's ja schon länger gesagt, und langsam aber sicher dringt es immer lauter an die Öffentlichkeit: PHP stinkt!
Dass PHP-"Applikationen" sicherheitstechnisch noch mehr Aufmerksamkeit genießen als Buffer-, Heap-Overflows etc. in C ist ja seit mehreren Jahren nichts Neues mehr.
Zum einen liegt das Sicherlich an der Natur der Sache, da PHP einen schnellen Einstieg in die Programmierung bietet. Leider bietet die Sprache gerade Anfängern aber auch recht wenig Schutz davor, sich selbst ins Bein zu schießen, weil sie nichts über grundlegende Dinge wie "sicherere" Programmierung wissen. Nicht zuletzt aus diesem Grund wurden (zurecht) viele Probleme dem jeweiligen Programmierer selbst in die Schuhe geschoben.
Spätestens nach Stefan Essers Rücktritt aus dem PHP Security Respone Team, und den damit verbunden recht offenen Worten sollte jedoch klar sein, dass auch gerade die PHP-Götter immer noch nichts aus ihren Fehlern gelernt haben.
Die nächste Überraschung dann war für mich der Angriff auf das Rootforum, dessen Admin ich als äußerst sorgfältig und mit dem nötigen Background versehen kenne. Selbst das hat herzlich wenig gegen die bis dahin unbekannte Sicherheitslücke in der (sonst auch recht hoch gelobten) phpMyFAQ genutzt.
Auch wenn der Einstieg dieses Posts vielleicht bewusst effekthascherisch gehalten ist, kann ich dem hierzu passenden SecurityFocus-Artikel nur beipflichten:
Mein Ziel, langsam aber sicher von sämtlichen PHP-Apps wegzukommen steht jedenfalls fest. Sobald in ferner Zukunft wieder etwas mehr Zeit ist, ziehe ich dieses Blog weiter vom (trotz allem grandiosen) Serendipity um auf das Ruby on Rails-basierte Typo. Was mit den Bookmarks und dem Feedreader wird weiß ich zwar noch nicht genau, bin aber sicher, dass auch hierfür eine Lösung nicht so weit sein kann. Vorschläge werden jedenfalls gern entgegen genommen.
Zum einen liegt das Sicherlich an der Natur der Sache, da PHP einen schnellen Einstieg in die Programmierung bietet. Leider bietet die Sprache gerade Anfängern aber auch recht wenig Schutz davor, sich selbst ins Bein zu schießen, weil sie nichts über grundlegende Dinge wie "sicherere" Programmierung wissen. Nicht zuletzt aus diesem Grund wurden (zurecht) viele Probleme dem jeweiligen Programmierer selbst in die Schuhe geschoben.
Spätestens nach Stefan Essers Rücktritt aus dem PHP Security Respone Team, und den damit verbunden recht offenen Worten sollte jedoch klar sein, dass auch gerade die PHP-Götter immer noch nichts aus ihren Fehlern gelernt haben.
Die nächste Überraschung dann war für mich der Angriff auf das Rootforum, dessen Admin ich als äußerst sorgfältig und mit dem nötigen Background versehen kenne. Selbst das hat herzlich wenig gegen die bis dahin unbekannte Sicherheitslücke in der (sonst auch recht hoch gelobten) phpMyFAQ genutzt.
Auch wenn der Einstieg dieses Posts vielleicht bewusst effekthascherisch gehalten ist, kann ich dem hierzu passenden SecurityFocus-Artikel nur beipflichten:
Perhaps PHP should stand for Pretty Hard to Protect
Mein Ziel, langsam aber sicher von sämtlichen PHP-Apps wegzukommen steht jedenfalls fest. Sobald in ferner Zukunft wieder etwas mehr Zeit ist, ziehe ich dieses Blog weiter vom (trotz allem grandiosen) Serendipity um auf das Ruby on Rails-basierte Typo. Was mit den Bookmarks und dem Feedreader wird weiß ich zwar noch nicht genau, bin aber sicher, dass auch hierfür eine Lösung nicht so weit sein kann. Vorschläge werden jedenfalls gern entgegen genommen.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Statt Typo würde ich dir mal Mephisto (http://mephistoblog.com/) ans Herz legen. Hat eine stetig wachsende Fangemeinde und wurde ebenfalls in RoR geschrieben. Typo scheint ja leider mehr oder minder tot zu sein. Die TypoSphere (http://typosphere.org/) kommt ja schon seit einigen Monaten "bald".
Ach, und wegen der Bookmarks bietet sich URLmarkr (http://urlmarkr.org/) an. Die Homepage ist derzeit aber leider down. :/
Aber das SVN-Repository ist noch unter http://svn.urlmarkr.org/trunk/ erreichbar.
Das Blog des Autors (http://darxr.net/tags/urlmarkr) ist vielleicht auch interessant.
Aber das SVN-Repository ist noch unter http://svn.urlmarkr.org/trunk/ erreichbar.
Das Blog des Autors (http://darxr.net/tags/urlmarkr) ist vielleicht auch interessant.
Herzlichen dank für die Tips, gerade Mephisto sieht schon recht vielversprechend aus. 
als Feedreader ersatz ist evtl. parabola ein Ersatz.
hp: http://parabola.aeonblue.dk/trac
Blog: http://www.rails.dk/articles/category/parabola
Habs mir aber nicht so recht angeschaut, da es damals mit Postgresql nicht wollte. Sollte aber jetzt funktionieren.
hp: http://parabola.aeonblue.dk/trac
Blog: http://www.rails.dk/articles/category/parabola
Habs mir aber nicht so recht angeschaut, da es damals mit Postgresql nicht wollte. Sollte aber jetzt funktionieren.
Was spricht denn gegen eines der Plone-Produkte wie Quills (http://plone.org/products/quills) oder EasyBlog (http://plone.org/products/easyblog)?
Also man muss ganz klar eins sagen: im PHP Manual wird klar darauf hingewiesen, dass PHP mit den Mitteln des Betriebssystems zu sichern sei! Die Tatsache, dass der rootforum server über php gehackt wurde beweist lediglich, dass der "äußerst sorgfältige und mit dem nötigen Background versehene" Administrator keine Ahnung hatte, wie man sowas bewerkstelligt. Fazit: eher peinlich.
Kommentar schreiben
Links des Artikels
Suche
Kalender
|
March '10 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
Powered by
Sonstiges
Dass das Akronym PHP ab und zu auch für "Pretty Hard to Protect" stehen kann, ist sicherlich nichts Neues. Eine Sprache die leicht zu erlernen ist und deren Laufzeitumgebung bei jedem Feld, Wald und Wiesenprovider installiert ist, zieht nun einmal auch Le
Aufgenommen: Apr 11, 19:29