Měsíc PHP chyb

Školení, která pořádám

Na březen 2007 naplánoval Stefan Esser akci MOPB, která je obdobou dříve konaných akcí MOAB a MOKB.

Informace o této akci stejně jako další postřehy z interních procesů v PHP komunitě si můžete přečíst v zajímavém rozhovoru s ním. Bohužel to není moc veselé čtení. Stefan Esser má na všechny kolem sebe nesmírně přísné nároky a jeho „sociální cítění“ není příliš rozvinuté (klidně pitomci řekne, že je pitomec), v první řadě je to ale špičkový bezpečnostní expert stojící za velkou řadou odhalených nedostatků v PHP a je škoda, že se s komunitou rozešel ve zlém. (Ono se taky není čemu divit, když na jeho Hardened-PHP Patch někdo údajně vztáhnul bod 4 PHP licence, který zakazuje použít „PHP“ v názvu odvozeného produktu, takže ho musel přejmenovat na „Hardening-Patch for PHP“.)

V březnu tým kolem Stefana Essera bude odhalovat každý den alespoň jeden nedostatek PHP. Podle informací Ilii se v tomto měsíci přistoupí ke kdysi používanému vydávání patchů řešících vždy jen danou chybu a souhrnná opravná verze PHP vyjde až v dubnu.

Jsem rád, že Stefan Esser svůj přehled o vnitřnostech PHP zcela nezahodil a zveřejní ho alespoň touto akční formou. I když se v březnu při aplikaci patchů asi pěkně zapotíme…

Jakub Vrána, Ze zákulisí, 9.2.2007, diskuse: 3 (nové: 0)

Diskuse

paranoiq:

půjde jen o bezpečnostní apod. opravy, nebo se dostane i na něco jiného? například na nemožnost statického volání přetížených funkcí. už je to v buglistu od roku 2004

ikona Jakub Vrána OpenID:

Pravděpodobně půjde pouze o bezpečnostní chyby, ať už lokálně nebo vzdáleně zneužitelné: „We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities“.

ikona llook:

Na podobné bugy obvykle vývojáři reagují tím, že to není bug, ale feature. A pokud se to týká PHP4, tak bývá reakce typu "přejděte na PHP5, tam to funguje".

Vložit příspěvek

Používejte diakritiku. Vstup se chápe jako čistý text, ale URL budou převedeny na odkazy a PHP kód uzavřený do <?php ?> bude zvýrazněn. Pokud máte dotaz, který nesouvisí s článkem, zkuste raději diskusi o PHP, zde se odpovědi pravděpodobně nedočkáte.

Jméno: URL:

avatar © 2005-2016 Jakub Vrána. Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení Creative Commons. Můžeme si tykat. Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset. Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.