PHP turvalisus küsimärgi all

margus
Jaga:

Antud blogipostitus on 209 kuud vana ning ei pruugi olla enam ajakohane.

Zend Developer Zone jutustab, et Zeev Suraski arust on slashdot.org teda turvalisuse küsimuses valesti tsiteerinud. Nimelt väidab slashdot selle artikli alusel, et Zeevi arust on kogenematud PHP kasutajad ise ainukesena süüdi selles, kui nende veebileheküljes turvaauk sees on ning PHP enda mootori turvalisusega on kõik korras. Zeevi enda vastus siin.

Kes ei tea, siis Zeev Suraski koos Andi Gutmansiga on need kaks figuuri, kes PHP mootori sellisena nagu me seda tänapäeval tunneme kirjutanud on. Samuti on nad Zend Technologies omanikud.

Aga mis tegelikult tähelepanu väärib on see, et üks põhiline PHP turvalisuse nimel töötavatest spetsialistidest Stefan Esser on PHP tiimist omal soovil lahkunud ning seda nö. uksi paugutades.

Esserile ei meeldi see, et PHP mootori arendajad turvalisusele liiga vähe tähelepanu pööravad ning vastutust turvaaukude puhul endalt ära lükkavad. Edaspidi lubab Esser hakata PHP mootorist leitud turvaauke avalikustama isegi siis, kui sellele veel turvapaik loomata on.

Esseri poolt on välja töötatud PHP “nõrki” kohti parandav ning buffer-overflow exploite ennetav Hardening Patch for PHP ning selle edasiarendus PHP mooduliks nimega Suhosin.

Populaarsed postitused

Veelkord aegunud PHP versioonidest

Kaarel Urva
Mäletatavasti teavitasime aprilli lõpus kliente sellest, et aegunud PHP versioonide kasutamine muutub tasuliseks. Mõistetavasti tuli see uudis paljudele...

Peagi saabub WooCommerce 9.0

Ingmar Aasoja
Kui räägime veebilehtedest, siis mõtleme sageli WordPressile. Kui lisame jutule e-poe, siis enamasti räägime WooCommerce'ist. WooCommerce on paljude...

PHP versiooniuuenduste strateegiad

Ingmar Aasoja
See, et aegunud PHP on koormaks nii meile kui ka klientidele, on korduvalt läbikäidud teema. Seetõttu oleme ette võtnud teekonna, millega püüame...

BIMI ja DMARC ei pruugi päästa: Tähelepanuta jäänud DKIM haavatavus

blogi
Zone spetsialistid märkasid DKIM standardis olevate hoiatuste ignoreerimisest tulenenud haavatavust, mis mõjutab kogu e-posti ökosüsteemi ja paneb...