Folytatódik a month of bugs sorozat -> month of php bugs

Bug

A sok flémet generált kernel (MoKB) és az Apple (MoAB) bugok hónapja után most elérkezett az idő a PHP (MoPB ?) bugvadászatra is.

A Security Focus értesülése szerint Stefan Esser lát neki ennek a cseppet sem érdektelen feladatnak, hiszen a becslések szerint több mint 20 millió oldal használja a PHP-t motorjaként, ami több mint 30 százaléka a piacnak.

Esser alapító tagja volt a PHP Security Response Team-nek és a Hardened-PHP projectnek is.

A részletekért érdemes elolvasni a Security Focus cikkét.

( bervi | 2007. 02. 08., cs – 10:17 )

jó hír, jelenleg is hardened php van fent, és nyugodtabb vagyok tőle :))

Most hogy Lorian összekapott a PHP fejlesztőkkel, pont kapóra jött ez a Month of Bugs sorozat, mert egyrészről "bosszút" állhat rajtuk, amiért nem foglalkoztak a bejelentett security problémákkal, másrészről hatásosan reklámozhatja a projektjét... :)

Egyébként Hardened-PHP helyett most már inkább a Suhosin-t preferálja.

Robert, tervezed a suhosin bevezetését mondjuk 4.1-től? :)

most próbáltam kicsit játszogatni vele, modult fabrikálni, de nem nagyon jött össze, mert a core hardened, a pear meg nem, ez meg nekem fojton sírt incompat. miatt, aztán hagytam a fenébe :) próbáltam define-okkal, változókkal, de nem akarta :)

( freeoli v | 2007. 02. 08., cs – 11:25 )

Két sor:
PHP arány
Hongrie (.hu) 50.58 %
PHP5 arány
Hongrie (.hu) 17.98 %

( tolmi | 2007. 02. 08., cs – 12:43 )

Nagyon helyes! Reméltem titkon, hogy lesz ilyen is PHP-val kapcsolatban és reményem meghallgatásra talált!
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

( vmiklos | 2007. 02. 08., cs – 16:16 )

php utan mi fog jonni? ;)

nemhiszem h lenne meg1 masik olyan project amiben ennyire konnyu bugot talalni mint a phpban :)

$ lynx -dump http://frugalware.org/security|grep -c php
27

Nem bantani akarlak, de ha megnezned az altalad linkelt weblapot, PHP hibajavitas csak 3 van, a tobbi talalatod phpMyAdmin, phpBB, joomla es egyeb javitasok miatt lettek beleszamolva a 27-be ugyh szerintem ez a "nagysagrendben kulonboznek" dolog igy nem teljesen igaz..

Egyrész kevés a python hosting, sokkal elterjedtebb a HPH (a. k. a. nagy számok), másrészt pedig a PHP-ben van eleve egy-két ilyen goatse-beállást elősegítő dolog, pl. a register_globals.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

mindent arra amire valo. elvileg a php ilyen webes fosnak lenne szanva (tudom, rtfm, a php univerzalis nyelv, lol) csak eppen ott se jo. most tessek ketsegbevonni, h a C a maga teruleten nem teljesit jol ;)

persze ez vonatkozik sokminden masra is, az sh, a python, stb a maguk teruleten teljesen jol teljesitenek, ezt a phprol imho nem lehet elmondani

see also http://www.bitstorm.org/edwin/en/php/

az egy dolog, hogy nekem is... most inkább arra kívántam picit irónikusan célozgatni, hogy minden ilyen [időtartam] of [bigyó]-ra illezskedő dolog hülyeség, cask arra jó, hogy hypeot keltsenek... az meg nekem nem hiányzik (bár ubuntuhype nélkül nem is próbáltam volna ki...:D)
_________________________________________
Valódi paraszt vagyok. Csak előre tudok lépni, nem azt ütöm le, aki velem szembenáll, és ha nincs tovább, megváltozom.

( csorfab | 2007. 02. 08., cs – 22:06 )

Jeee lehet majd jól exploitolni egy csomó weboldalt :D

Kíváncsi vagyok, ez is olyan színvonalú lesz-e, mint a MOAB...