Re: apache & php setup entwanzen

From: Bernd Walter <ticso(at)cicely7.cicely.de>
Date: Wed, 22 Oct 2008 15:44:50 +0200



On Wed, Oct 22, 2008 at 03:36:17PM +0200, Marc Santhoff wrote:


> Am Dienstag, den 21.10.2008, 21:43 +0200 schrieb Bernd Walter:


> > On Tue, Oct 21, 2008 at 09:19:24PM +0200, Marc Santhoff wrote:


> > > Am Dienstag, den 21.10.2008, 19:31 +0200 schrieb Bernd Walter:


> > > > On Tue, Oct 21, 2008 at 05:08:12PM +0200, Marc Santhoff wrote:


> > > > > Am Sonntag, den 19.10.2008, 17:42 +0200 schrieb Sebastian Ahndorf:


> > > > > > Du weißt schon, daß php4 keine Securityupdates mehr bekommt? Daher wäre 


> > > > > > php5 wohl mittlerweile zu bevorzugen.


> > > > > 


> > > > > Jetzt schon. ;)


> > > > 


> > > > Naja - das einzig wahre Security_update_ für PHP funktioniert komplett


> > > > versionsunabhängig:


> > > > pkg_delete -f /var/db/pkg/*php*


> > > 


> > > PHP begeistert mich auch nicht so, ich hab' selbst schon mitbekommen,


> > > daß der Server einer Site, die php einsetzte, alle paar Monate


> > > vorsätzlich geschreddert wurde. Glücklicherweise wird in diesem Fall die


> > > Software, wenn sie denn geeignet ist, wirklich nur in LAN benutzt.


> > 


> > Nun - PHP ist nicht pauschal unsicher, aber es hat ziemlich viele


> > Features, die es unerfahrenen Programmieren leicht machen sich in


> > falscher Sicherheit zu glauben.


> 


> Hm, das gilt dann aber eigentlich für alle Skriptsprachen und


> Interpreter, die als CGI benutzt werden. Spricht also nicht gegen PHP


> als solches.



Neh - PHP ist da besonders schlimm.


Es gibt z.B. Flags, um automatisch diverse Zugriffe auf Datenbanken,


Shells zu escapen.


Natürlich kann das nicht immer das richtige machen, also schaltet man


das bisweilen ab, um es selber zu kontrollieren.


Die Folge für den Admin ist, dass man es nicht problemlos mischen kann,


oder vergisst die Flags so zu setzen, wie der Programmierer es gewöhnt


ist, was doppeltes Escaping, oder gar keins zur Folge hat.


Dererlei missfeatures gibt es reichlich.


Für einen Admin ist das echter Horror, weil er theoretisch die Scripte


alles einzeln kontrollieren muss.


Die Folge ist, dass man es im Prinzip gut für eigene Sachen verwenden


kann, aber die verwendung von fertiger Software ein Risiko darstellt.


Für eigene sachen brauche ich dann aber kein PHP.



-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 22 Oct 2008 - 15:45:35 CEST













search this site