© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marcus Franke <marcus.franke(at)gmx.net> wrote:
> Oliver Fromme wrote:
> > Dann laß Dich halt nicht überreden. Ich wette, daß die
> > meisten von denen (vermutlich alle) selbst gar kein PHP
> > können, sondern nur fertigen Krempel benutzen, den sie
> > sich von irgendwoanders kopiert haben. Wahrscheinlich
> > haben sie keine Peilung, wie das überhaupt alles funktio-
> > niert. Wie soll man sowas halbwegs sicher machen, wenn
> > selbst PHP-Programmierer, die sich mit sowas auskennen
> > (sollten), das oftmals nicht gebacken kriegen?
>
> Ist das nicht ein wenig plakativ und polemisch?
Es ist das Fazit vieler Jahren eigener Erfahrungen und
Erlebnisse.
> Auch C Programmierer bauen Mist
Da hast Du leider völlig Recht.
> und ich deinstalliere mein
> FreeBSD doch auch, nur weil es in C programmiert wurde..
Der Vergleich hinkt. Zumindest beim Basissystem von Free-
BSD gibt es relativ strikte Richtlinien, und ich traue den
Comittern zu, daß sie ihr Handwerkszeug beherrschen und
insbesondere auch in Sicherheitsbelangen sensibilisiert
sind. Klar, es kann immer mal ein Ausrutscher passieren,
aber das wird dann auch ziemlich rasch wieder gefixt (und
publiziert).
Wenn dagegen jemand, der nicht programmieren kann, sich
von irgendeiner Web-Seite ein PHP-Skript fischt, dessen
Funktion er nicht durchschaut, und welches schon von X
Leuten kopiert, modifiziert und weitergegeben wurde, bei
dem möglicherweise nichtmal die »offizielle« Webseite des
Programmierers bekannt ist, geschweige denn, wie man an
Updates im Falle von Sicherheitslücken kommt -- da kräuseln
sich mir die Zehennägel.
Davon abgesehen ist die Security-Historie von PHP selbst
auch nicht gerade so berauschend. Alle zwei Monate hat es
so seinen Auftritt bei Bugtraq, Heise etc., gefolgt von
einem Update, aber welche privaten Web-Betreiber updaten
regelmäßig und zeitnah ihr PHP-Modul? D.h. selbst wenn man
PHP-Skripe schriebe, die in sich selbst perfekt sicher wä-
ren (was in der Praxis eher die Ausnahme zu sein scheint),
und man seine php.ini auf die restriktivsten Werte ein-
stellt (was in der Praxis aufgrund von Kundenforderungen
häufig gar nicht möglich ist) -- selbst dann ist man noch
der Sicherheit des PHP-Moduls selbst auf Gedeih und Verderb
ausgeliefert.
Bei PHP kommt erschwerend hinzu, daß die Sprache scheinbar
einfach zu erlernen ist, was dazu führt, daß viele Program-
mier-Anfänger, die sich gerade mal durch ein Tutorial ge-
kämpft haben (oder durch das Skript eines anderen), die
aber von möglichen Sicherheitsproblemen noch keinerlei
Ahnung haben, Skripte in die Welt setzen. Häufig wird da
weniger gezielt programmiert als vielmehr »trial and error«
gemacht (solange daran herumbasteln, bis es scheinbar das
tut, was man will).
Mal ganz ehrlich: Sowas will ich auf meinem privaten Web-
Server _nicht_ haben. Wer meint, ein PHP-Gästebuch betrei-
ben zu müssen, soll sich ein paar Mbyte Webspace sonstwo
mieten, das kostet nicht die Welt. Dann bin ich auch das
Risiko los, daß eines Tages die Polizei in der Tür steht
und den Rechner beschlagnahmt, weil irgendeine Haßnase,
die in einem Gästebucheintrag ihr Fett weggekriegt hat,
Anzeige erstattet hat.
> Jede Software kann unsicher sein.
In der Praxis ja (obgleich es Programmiersprachen gibt, die
das Schreiben unsicherer Programme erschweren oder gar ganz
unmöglich machen, aber leider hat das im wesentlichen nur
akademischen Wert).
Allerdings gibt es da deutliche Abstufungen. »Sicher« und
»unsicher« sind ja keine absoluten Werte.
> Und ich finde PHP gar nicht mal so schlimm dabei.
PHP gehört eindeutig zu den schlimmsten Vertretern. Deut-
lich besser wäre z.B. perl im »taint mode« (Jörg Wunsch
wird mir jetzt sicherlich jubelnd zustimmen), obgleich
ich Perl sonst nicht mag.
> Die phpBB's dieser Welt sind eher das Problem.
>
> Guns don't kill people, people kill people..
_Diese_ Phrase finde ich plakativ und polemisch (und in
der Sache falsch und gefährlich).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. We're sysadmins. To us, data is a protocol-overhead. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 20 May 2005 - 15:56:57 CEST