Stefan Esser abbandona il PHP security team
Venerdì 15 Dicembre 2006 - 19:10
di Gabriele Farina
Questa è una di quelle notizie che, se sei legato al mondo PHP ed hai qualche dubbio sulla sua stabilità e sicurezza, ti cambiano un po’ la giornata.
A quanto pare Stefan Esser abbandona il PHP security team dopo esserne diventato membro ufficiale ed aver rilasciato numerosi advisory in ambito relativo alla security.
Quello che un po’ fa pensare sono le motivazioni: traducendo praticamente alla lettera quello che ha detto, le ragioni per le quali ha lasciato l’incarico sono molte, ma la più importante di tutte è che si è accorto che ogni tentativo di migliorare la sicurezza di PHP dall’interno è praticamente inutile; si è accorto infatti di non essere gradito all’interno del progetto ufficiale dato che ogni suo intervento veniva spesso catalogato con l’etichetta di tradimento immorale …
Strano, veramente strano; soprattutto perché non ho idea di quali siano i motivi per cui all’interno del team di PHP ci si debba comportare in questo modo.
Categoria: PHP e Open Source | Permalink
Commenti
1
Esser se ne è andato dicendo che Suraski rifiuterebbe di considerare PHP intrinsecamente insicuro, e punterebbe invece il dito sulle cattive abitudini dei programmatori PHP. Zuraski a sua volta ha smentito (curiosamente, su SlashDot), dicendo che i due piani (insicurezza di PHP e imperizia dei programmatori) sono distinti, ma ribadendo (a mio parere a ragione) che “the majority of web applications are programmed in PHP. The shear volume could give the impression that PHP is intrinsically unsafe”. Insomma, a suo parere, sarebbe il gran numero di applicazioni tout court a far salire il numero di applicazioni “bacate”.
# - postato da paperogiallo - 16 Dicembre 2006 - 05:03
2
Vabbè non si sono semplicemente capiti… :-)
# - postato da Andrea Paiola - 16 Dicembre 2006 - 10:00
3
non è la persona che fa la sicurezza (spero)
# - postato da PiccoloSocrate - 16 Dicembre 2006 - 10:22
4
ma esiste un linguaggio che consente di creare applicazioni totalmente sicure, a prova di bomba, a priori? se si ditelo alla microsoft, please.
# - postato da smal - 16 Dicembre 2006 - 10:55
5
ma esiste un linguaggio che consente di creare applicazioni totalmente sicure
direi di no, dato che non è il linguaggio a creare applicazioni sicure ma chi lo utilizza.
Ad essere pignoli, più il linguaggio è potente, più ha controllo sul sistema, più permette di creare applicazioni insicure … e ricordiamoci che la potenza è nulla, senza controllo :D
Pirelli ©
# - postato da Andrea Giammarchi - 18 Dicembre 2006 - 00:04
6
ma asp.net non dovrebbe essere costruito per evitare problemi tipo sql injection ecc.?
# - postato da another - 18 Dicembre 2006 - 09:01
7
@another: pure php è orientato a pararti dalle sql injection ma se non lo programmi decentemente il tuo sito diverrà presto il luogo di divertimento degli hacker :)
# - postato da PiccoloSocrate - 18 Dicembre 2006 - 12:18
8
@andr3a: veramente il punto di fondo della diatriba è proprio quello.
Stefan Esser voleva inserire una serie di controlli aggiuntivi al codice sorgente dell’interprete php per evitare che un incauto “programmatore” potesse creare danni, il resto del team non era della stessa idea.
Giusto per farsi un’idea, questo è uno (il principale?) dei progetti di Esser legati alla sicurezza del php: http://www.hardened-php.net/# - postato da Chris - 18 Dicembre 2006 - 21:44
9
Chris non ho letto tutti gli advisory di Esser ma non mi trovo d’accordo col suo punto di vista.
Se io non so programmare e scrivendo unlink(__FILE__); faccio un casino non posso mica prendermela col linguaggio … casomai cambio lavoro o continuo a studiare prima di riprendere.
E’ un esempio molto superficiale ma spiega il mio punto di vista: non deve essere il linguaggio ad essere limitato ma chi lo sfrutta ad essere preparato.
# - postato da Andrea Giammarchi - 19 Dicembre 2006 - 07:22