Pozycja PHP wciąż silna – i to mimo problemów z bezpieczeństwem

Społeczność deweloperów PHP w maju br. oddawała się akcji wypleniania usterek i błędów z interpretera tego wciąż najpopularniejszego webowego języka programowania. Akcja MOPS (Month of PHP Security) pozwoliła im znaleźć ponad 60 problemów, zagrażających bezpieczeństwu aplikacji. Eksperci z Zenda, największego komercyjnego dostawcy rozwiązań na bazie PHP, są przekonani jednak, że wyniki MOPS wcale nie dowodzą, jakoby język ten był z konieczności niebezpieczny.

W wywiadzie udzielonym serwisowi InternetNews.com, Andi Gutmans, dyrektor generalny Zenda wyjaśnił, że żadnego ze znalezionych błędów nie można uznać za lukę typu „zero-day”. Wyexploitowanie zdecydowanej większości z nich miało wymagać lokalnego dostępu do serwera i było realne tylko w scenariuszach, w których programista atakował swój własny kod, na niezbyt restrykcyjnie skonfigurowanym serwerze.

„PHP nie zaprojektowano tak, aby chroniło przed tego typu scenariuszami – choć interpreter robi co może, aby chronić przed typowymi próbami ataków, to nie udaje, że zapewnia szczelną ochronę przed niezaufanymi programistami z dostępem do serwera” – podsumował Gutmans, dodając, że problemów takich jest na pewno znacznie więcej niż 60, ale choć firma Zend uznaje je za błędy, to nie może ich potraktować jak poważne zagrożenia dla bezpieczeństwa.

Bezpieczeństwo, zdaniem Gutmansa, powinno być zapewnione na poziomie systemu operacyjnego. To najlepsza ochrona przeciwko eskalacji uprawnień. „Ludzie nie powinni oczekiwać, że PHP będzie w stanie narzucić ograniczenia bezpieczeństwa na dewelopera mającego uprawnienia do uruchamiania dowolnego kodu – to po prostu przegrany scenariusz i nie tę warstwę należy chronić. Ludzie muszą polegać na właściwie skonfigurowanych uprawnieniach systemu operacyjnego, aby ochronić się przed niezaufanymi programistami” – dodał Gutmans.

Oczywiście pozostaje też problem umiejętności programistów. Tworząc aplikację webową, bez względu na to, w którym języku jest ona napisana, wdraża się ją później do wrogiego, pełnego napastników świata. „Dlatego ważne jest, aby każdy programista przeszedł trening w zakresie bezpieczeństwa” – uznał CEO Zenda, wskazując na wysiłki jego firmy jako dobry przykład starań w tym kierunku. Zend przygotowuje odpowiednie kursy i poradniki, a także szablony bezpiecznego kodu, z których można korzystać w IDE Zend Studio.

Pochwalił też projekt MOPS, stwierdzając, że „zwiększa świadomość zagrożeń wśród programistów PHP i wykazuje się odpowiedzialnością, informując o znalezionych problemach z odpowiednim wyprzedzeniem”.

Z wynikami prac inicjatywy Month of PHP Security można zapoznać się na stronie php-security.org. Znalezione błędy zostaną poprawione w najbliższych wydaniach interpretera.

Źródło: developer.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

3 skomentuj »

Komentarze

#1 l3niwi3c 2010-06-09 12:13:25 0
A nie lepiej przesiąść się na django?
IP: 85.193.241.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.1.9) Gecko/20100401 Ubuntu/9.10 (karmic) Firefox/3.5.9
#2 sindr0me 2010-06-09 15:16:25 0
Jasne że lepiej, tylko powiedz klientowi że ma zapłacić 2x więcej za hosting.
IP: 91.195.158.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.5.24 Version/10.53
#3 vincent 2010-06-12 14:27:13 0
Z reguły stworzenie aplikacji w django i późniejsze jej utrzymanie jest tańsze niż w symfony więc sobie odbije.
IP: 212.106.22.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 ( .NET CLR 3.5.30729)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.