Měsíc PHP chyb
Školení, která pořádám 
Na březen 2007 naplánoval Stefan Esser akci MOPB, která je obdobou dříve konaných akcí MOAB a MOKB.
Informace o této akci stejně jako další postřehy z interních procesů v PHP komunitě si můžete přečíst v zajímavém rozhovoru s ním. Bohužel to není moc veselé čtení. Stefan Esser má na všechny kolem sebe nesmírně přísné nároky a jeho „sociální cítění“ není příliš rozvinuté (klidně pitomci řekne, že je pitomec), v první řadě je to ale špičkový bezpečnostní expert stojící za velkou řadou odhalených nedostatků v PHP a je škoda, že se s komunitou rozešel ve zlém. (Ono se taky není čemu divit, když na jeho Hardened-PHP Patch někdo údajně vztáhnul bod 4 PHP licence, který zakazuje použít „PHP“ v názvu odvozeného produktu, takže ho musel přejmenovat na „Hardening-Patch for PHP“.)
V březnu tým kolem Stefana Essera bude odhalovat každý den alespoň jeden nedostatek PHP. Podle informací Ilii se v tomto měsíci přistoupí ke kdysi používanému vydávání patchů řešících vždy jen danou chybu a souhrnná opravná verze PHP vyjde až v dubnu.
Jsem rád, že Stefan Esser svůj přehled o vnitřnostech PHP zcela nezahodil a zveřejní ho alespoň touto akční formou. I když se v březnu při aplikaci patchů asi pěkně zapotíme…
Diskuse
paranoiq:
půjde jen o bezpečnostní apod. opravy, nebo se dostane i na něco jiného? například na nemožnost statického volání přetížených funkcí. už je to v buglistu od roku 2004
Jakub Vrána 
:
Pravděpodobně půjde pouze o bezpečnostní chyby, ať už lokálně nebo vzdáleně zneužitelné: „We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities“.
Jakub Vrána : 
llook:
Na podobné bugy obvykle vývojáři reagují tím, že to není bug, ale feature. A pokud se to týká PHP4, tak bývá reakce typu "přejděte na PHP5, tam to funguje".
llook: Diskuse je zrušena z důvodu spamu.
© 2005-2024 