Měsíc PHP chyb

Školení, která pořádám

Na březen 2007 naplánoval Stefan Esser akci MOPB, která je obdobou dříve konaných akcí MOAB a MOKB.

Informace o této akci stejně jako další postřehy z interních procesů v PHP komunitě si můžete přečíst v zajímavém rozhovoru s ním. Bohužel to není moc veselé čtení. Stefan Esser má na všechny kolem sebe nesmírně přísné nároky a jeho „sociální cítění“ není příliš rozvinuté (klidně pitomci řekne, že je pitomec), v první řadě je to ale špičkový bezpečnostní expert stojící za velkou řadou odhalených nedostatků v PHP a je škoda, že se s komunitou rozešel ve zlém. (Ono se taky není čemu divit, když na jeho Hardened-PHP Patch někdo údajně vztáhnul bod 4 PHP licence, který zakazuje použít „PHP“ v názvu odvozeného produktu, takže ho musel přejmenovat na „Hardening-Patch for PHP“.)

V březnu tým kolem Stefana Essera bude odhalovat každý den alespoň jeden nedostatek PHP. Podle informací Ilii se v tomto měsíci přistoupí ke kdysi používanému vydávání patchů řešících vždy jen danou chybu a souhrnná opravná verze PHP vyjde až v dubnu.

Jsem rád, že Stefan Esser svůj přehled o vnitřnostech PHP zcela nezahodil a zveřejní ho alespoň touto akční formou. I když se v březnu při aplikaci patchů asi pěkně zapotíme…

Jakub Vrána, Ze zákulisí, 9.2.2007, diskuse: 3 (nové: 0)

Diskuse

paranoiq:

půjde jen o bezpečnostní apod. opravy, nebo se dostane i na něco jiného? například na nemožnost statického volání přetížených funkcí. už je to v buglistu od roku 2004

ikona Jakub Vrána OpenID:

Pravděpodobně půjde pouze o bezpečnostní chyby, ať už lokálně nebo vzdáleně zneužitelné: „We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities“.

ikona llook:

Na podobné bugy obvykle vývojáři reagují tím, že to není bug, ale feature. A pokud se to týká PHP4, tak bývá reakce typu "přejděte na PHP5, tam to funguje".

Diskuse je zrušena z důvodu spamu.

avatar © 2005-2022 Jakub Vrána. Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení Creative Commons. Můžeme si tykat. Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset. Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.