Nieuws

PHP goeroe start maand van PHP lekken

vrijdag 2 maart 2007, 09:42 door Redactie, 8 reacties

Beveiligingsexpert Stefan Esser, die onlangs uit onvrede het PHP Security Response Team verliet, zal in navolging van de maand van de kernel, browser en Apple bugs de komende 31 dagen verschillende beveiligingslekken in PHP onthullen. Volgens Esser heeft het initiatief niets te maken met zijn onvrede over de lakse manier waarop PHP met beveiligingsproblemen omgaat, maar zou het resultaat van een PHP audit zijn.

"Als je beveiligingslekken publiceert in iemand anders z'n code of in de manier waarop ze met bugs omgaan, dan voelen de ontwikkelaars zich meestal gekwetst of aangevallen" aldus Esser.

Eerder liet Esser nog weten dat de PHP Group alle pogingen om de populaire scripttaal veiliger te maken saboteerde. "Zodra je zegt dat PHP's beveiligingsproblemen door de gebruiker veroorzaakt worden zijn ze je vriend, heb je het over de beveiliging van PHP, dan word je tot persona non grata verklaard. Ik ben gestopt te tellen hoe vaak ik voor een immorele verrader ben uitgescholden".

Inmiddels heeft Esser al vijf PHP bugs bekend gemaakt. In een aantal gevallen zal het PHP Security Response Team van tevoren worden ingelicht, maar een aantal lekken zal Esser "full-disclosure style" publiceren.

Onderzoeker vindt 10 Oracle bugs in 10 minuten

Hacker dwingt school tot wijzigen 96.000 wachtwoorden

Reacties (8)

02-03-2007, 10:27 door Anoniem

Dit is wel erg ook. Het gaat ze dus kennnelijk alleen om de bekendheid
van PHP en niet om de beveiliging. Straks moeten we nog gaan betalen
voor PHP en dan krijg je een 2de microsoft erbij. Grote naam, weinig
beveiliging

02-03-2007, 10:49 door Anoniem

Als je moet gaan betalen komt er vanzelf een fork, dat is het voordeel van
Open Source... Als Microsoft zou besluiten om Nederlanders 350 euro te
laten betalen voor Vista omdat hij Nelie Smit Kroes niet liev vindt, dan komt
er geen windhoos-fork uit. Oh, dat is ook de prijs al...

02-03-2007, 12:30 door Anoniem

Door Anoniem
Dit is wel erg ook. Het gaat ze dus kennnelijk alleen om de
bekendheid
van PHP en niet om de beveiliging. Straks moeten we nog gaan
betalen
voor PHP en dan krijg je een 2de microsoft erbij. Grote
naam, weinig
beveiliging

Het heeft helemaal niks met marketing te maken. PHP is een
van de meeste gebruikte en bekende script talen op dit moment.
Stefen Esser gaat het alleen om het feit dat niet alle
bugs/security risks goed behandeld worden door het PHP
security response team. Dat is ook de reden dat hij ermee
gestopt is. Met als resultaat full-disclosure reports.

Het is gevaarlijk.. maar wel nodig..

02-03-2007, 14:16 door Anoniem

Door Anoniem
Het heeft helemaal niks met marketing te maken. PHP is een
van de meeste gebruikte en bekende script talen op dit moment.
Stefen Esser gaat het alleen om het feit dat niet alle
bugs/security risks goed behandeld worden door het PHP
security response team. Dat is ook de reden dat hij ermee
gestopt is. Met als resultaat full-disclosure reports.

Het is gevaarlijk.. maar wel nodig..

Dat het gevaarlijk is zal iedereen beamen, maar waarom is het
desondanks nodig m.a.w. welke bedreigde security-belangen nu wegen
zwaarder dan een full disclosure?
Motiveren graag.

02-03-2007, 16:36 door Anoniem

Door Anoniem

Dat het gevaarlijk is zal iedereen beamen, maar waarom is het
desondanks nodig m.a.w. welke bedreigde security-belangen nu
wegen
zwaarder dan een full disclosure?
Motiveren graag.

Nodig omdat het PHP security response team zelf steken laat
vallen. En met het achterhouden van security risks/bugs is
niemand gebaat. Het is wellicht gevaarlijk om dit dmv
full-disclosure te doen. Maar hoe schudt je mensen anders
wakker? Ik ben er wel blij mee in iedergeval. Als Steffan
het niet doet. Dan mischien iemand met minder goede
bedoelingen.

02-03-2007, 17:44 door Anoniem

Door Anoniem
Nodig omdat het PHP security response team zelf steken laat
vallen. En met het achterhouden van security risks/bugs is
niemand gebaat. Het is wellicht gevaarlijk om dit dmv
full-disclosure te doen. Maar hoe schudt je mensen anders
wakker? Ik ben er wel blij mee in iedergeval. Als Steffan
het niet doet. Dan mischien iemand met minder goede
bedoelingen.

-het PHP Security Response Team laat steken vallen
-het achterhouden van security risks/bugs
-mensen wakkerschudden

Deze argumenten zijn m.i. vaag, getuigen van wantrouwen en naief in de
bedoeling. Het zegt meer over de bedrijfscultuur waarbinnen dit zich
afspeelt dan over de securitybelangen van de consument. Stefan Esser
kan best integer zijn dan anderen, maar bij iedereen heeft full disclosure
hetzelfde effect. Men kan makkelijker bij een niet-integer persoon erbij
denken dat die een virus bij zal leveren als die tot full disclosure overgaat.
Echter, in alle gevallen is het belang van de consument inzet van het
conflict en dat is geen goed uitgangspunt, tenzij er gelijk een patch wordt
meegeleverd.
Deze discussie is al tig keren gevoerd en is kennelijk nog geen
uitgemaakte zaak.

03-03-2007, 19:55 door Anoniem

Het is niet eens zo zeer het feit dat de PHP programmeurs potentiele
vulnerabilities achterhouden met patchen. Meer het feit dat de core
programmeurs er nogal een handje van hebben om de schuld bij de
gebruiker (webscripter) te leggen. Natuurlijk zit hier ook weer wat in, maar
PHP biedt gewoon nutteloze functionaliteit die vanuit security standpunt op
zijn zachts gezegd bedenkelijk zijn, onder het mom van 'gebruikersgemak'.

PHP is gewoon overduidelijk uit zijn jasje gegroeid en misschien wordt
het eens tijd dat iemand zijn of haar stoute schoenen aantrekt en een
fork gaat schrijven. Iemand die veiligheid wel belangrijker vindt dan
gebruikersgemak en misschien wordt PHP dan toch nog ooit eens een
volwassen ontwikkelomgeving.

Stefan...? ;)

05-03-2007, 11:26 door Anoniem

Slechts een maand? Moet om goede lekken gaan. PHP is een zooitje, en
zorgt ook voor veel security bugs aan de applicatie kant.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer