Dieser Artikel erschien ursprünglich in meinem ersten Weblog das Netzbuch, das von Mai 2002 bis November 2006 aktiv war, und wurde hier aus blognostalgischen Gründen archiviert. Aktuellere Artikel hat der Uninformat im Angebot.
Webworking

Deine Website steht mit einem Bein im Grab!

Wenn sie PHP benutzt. Diesen Eindruck könnte man zumindest gewinnen, wenn man das Echo auf Santy verfolgt. Die verschiedentlich zu lesende Kritik an der Reaktion der offiziellen PHP-Stellen resultierte in Action, Marco Tabini in seinem Weblog: »For what it’s worth, I don’t think there’s anything particularly wrong with phpBB; the fact that its maintainers took a bit longer than expected to realize the importance of a bug and provide a fix simply outlines their need for an audit of the older portions of their code. Bugs happen, and security fixes happen.
The fact that the Santy worm was allowed to spread as much as it did, however, brings to light a simple fact: despite PHP’s popularity, there is no concerted effort to keep the public informed on security news related to PHP
Konsequenz daraus: Es gibt nun eine neue (moderierte) Mailingliste namens [phpsec], die genau diesem Übel abhelfen soll. Seit ich sie abonniert habe, kam aber noch nicht eine Mail darüber reingeschneit, kann ein gutes oder schlechtes Zeichen sein.

Man sollte übrigens nicht den Stab über phpBB brechen. Es ist doch so: PHP ist eine Skriptsprache, die auf eine Vielzahl von Bibliotheken zurückgreift, die widerum mit dem Apachen und dem Betriebssystem zusammen spielen. Würde man erst einmal versuchen, das in seiner Gesamtheit zu verstehen, käme man niemals dazu, auch nur eine Anwendung fertig zu programmieren. Darum ist die neue Mailingliste eine löbliche Sache, denn der Informationsfluß auf php.net ist in solchen Dingen sehr schleppend, man musste sich bisher sicherheitsrelevante Infos überall zusammen suchen.
Seit dem 31.12. gibt es nun auch ein “offizielles” Statement auf php.net, wie üblich ohne Permalink, bitte nach »A Note On Security in PHP« Ausschau halten …



2 Kommentare



Dirk am 04.01.2005:


Interessant in dem Zusammenhang ist auch Hardened PHP, ein Patch, um potentielle Schwachstellen in PHP zu sichern und abzufangen. Allerdings ist dies auch noch in Entwicklung, und wie gut, stabil und sicher das ganze ist, kann ich nicht sagen, und vor allem ist es wohl auch schwierig, das auf einem Shared Host installiert zu bekommen.

Jörg Petermann am 04.01.2005:

”…Man sollte übrigens nicht den Stab über phpBB brechen.”

Das meine ich auch. Wenn wir ganz sicher gehen wollten, dass eine Software keine Fehler hat, dann sollten wir von vornherein einfach auf den Einsatz verzichten. Da das aber selten geht und phpBB auch eine Menge anderer Qualitäten hat, wird es eine Lösung für geben.

Im Einzelfall kann das Teil aber wohl ganz schön Ärger bereiten. Mein Kollege hat eine Woche an der Wiederherstellung gearbeitet. Das ist bretthart, macht man ganz sicher nicht 27mal.

Selten werden die Dinge so heiß gegessen wie gekocht!