© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Fr, 20.05.2005, 15:55, Oliver Fromme sagte:
> Marcus Franke <marcus.franke(at)gmx.net> wrote:
> > Oliver Fromme wrote:
> > > Dann laß Dich halt nicht überreden. Ich wette, daß die
> > > meisten von denen (vermutlich alle) selbst gar kein PHP
> > > können, sondern nur fertigen Krempel benutzen, den sie
> > > sich von irgendwoanders kopiert haben. Wahrscheinlich
> > > haben sie keine Peilung, wie das überhaupt alles funktio-
> > > niert. Wie soll man sowas halbwegs sicher machen, wenn
> > > selbst PHP-Programmierer, die sich mit sowas auskennen
> > > (sollten), das oftmals nicht gebacken kriegen?
> >
> > Ist das nicht ein wenig plakativ und polemisch?
>
> Es ist das Fazit vieler Jahren eigener Erfahrungen und
> Erlebnisse.
>
> > Auch C Programmierer bauen Mist
>
> Da hast Du leider völlig Recht.
>
> > und ich deinstalliere mein
> > FreeBSD doch auch, nur weil es in C programmiert wurde..
>
> Bei PHP kommt erschwerend hinzu, daß die Sprache scheinbar
> einfach zu erlernen ist, was dazu führt, daß viele Program-
> mier-Anfänger, die sich gerade mal durch ein Tutorial ge-
> kämpft haben (oder durch das Skript eines anderen), die
> aber von möglichen Sicherheitsproblemen noch keinerlei
> Ahnung haben, Skripte in die Welt setzen. Häufig wird da
> weniger gezielt programmiert als vielmehr »trial and error«
> gemacht (solange daran herumbasteln, bis es scheinbar das
> tut, was man will).
>
Alles sehr schön gesagt, aber, ich zum Bleistift bin nur sysadmin und kann
kein PHP. Mitfinanziert wird der Server von Freunden von mir, und es läuft
auch mod_php4. Nun bekomme ich jedoch von freshports.org ne eMail wenn
sich was am mod_php4 Port ändert. Und wenns nen Sicherheitsupdate ist, was
wie du schon sagtest oft genug vorkommt, dann wird das von mir auch sofort
installiert ;)
Eigentliche Frage nun: Wie würdest du ein code-auditing von php scripten
anfangen ? Gibt's da einschlägige Richtlinien, oder im Idealfall sogar
(perl/sh/*)Scripte die sowas übernehmen ? :)
Wäre durchaus von Interesse ...
>
> > Und ich finde PHP gar nicht mal so schlimm dabei.
>
> PHP gehört eindeutig zu den schlimmsten Vertretern. Deut-
> lich besser wäre z.B. perl im »taint mode« (Jörg Wunsch
> wird mir jetzt sicherlich jubelnd zustimmen), obgleich
> ich Perl sonst nicht mag.
>
hm... sollte ich mal drüber nachdenken. Müsste aber meinen mitfinanzierer
und PHP Verfechter dann auf perl bringen. Schwierige Aufgabe ;)
Greetings,
Marian, der trotz php auf seinem Server relativ ruhig schläft :]
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 20 May 2005 - 17:21:06 CEST