Gå til innhold

Offisiell PHP-nettside hacket og stengt ned


Anbefalte innlegg

Videoannonse
Annonse

Det er litt skummelt at man - i dette tilfellet php.net - ikke klarer å finne ut at man er infisert og sprer smitte, selv etter at man er blitt gjort klar over at problemet eksisterer. Php.net representerer i tillegg en stor organisasjon med kyndige mennesker, og hvis ikke de klarer å finne smittekilden, er det mange små og mellomstore organisasjoner som skulle ha slitt med å avdekke/følge opp problemet.

 

Glad det ikke var meg.

  • Liker 4
Lenke til kommentar

Det er litt skummelt at man - i dette tilfellet php.net - ikke klarer å finne ut at man er infisert og sprer smitte, selv etter at man er blitt gjort klar over at problemet eksisterer. Php.net representerer i tillegg en stor organisasjon med kyndige mennesker, og hvis ikke de klarer å finne smittekilden, er det mange små og mellomstore organisasjoner som skulle ha slitt med å avdekke/følge opp problemet.

 

Glad det ikke var meg.

 

Hvis en server først blir kompromittert kan det være tilnærmet umulig å finne ut av alle rare bakdører, etc. Reinstall er eneste sikre løsning, og selv da bør man være varsom mtp. mulige endringer i konfigurasjonsfiler, ol.

Lenke til kommentar

Det er riktig, og jeg har opplevd den delen, men for PHP.net vil en reinstall ikke være godt nok med mindre de vet hvordan det inntraff. Når de ikke engang klarer å avdekke AT det inntraff etter de er gjort oppmerksomme på at det sannsynligvis inntraff, er de ikke i nærheten av å kunne vite hva de må gjøre for å forhindre det fra å skje igjen.

Lenke til kommentar

PHP er og blir et søppelspråk som burde kastes på historiens skraphaug. Det har altid hatt massive sikkerhetshull, og det er enorme mengder med kode/eksempler/tutorials/forum som aktivt sprer dårlig/feil kode og fremhever dette som bra kode.

 

PHP er et språk der du aktivt må lage kode for å lukke åpne sikkerhetshull, i motseting til mange andre språk der man aktivt må lage kode for å skape tilganger til hull.

 

Det finnes ikke noe positivt med PHP.

Lenke til kommentar

 

According to the recently published Kaspersky Security Bulletin 2012, Oracle Java was the most frequently exploited software by cybercriminals during the year, with Adobe Reader and Adobe Flash Player ranking in the second and third places, respectively.

 

PHP har et ufortjent dårlig rykte. Det er et lettlært språk som kjører elendig kode bra. PHP vet at det har et dårlig rykte, og jobber med det. Adobe og Oracle driter tilsynelatende i det.

Lenke til kommentar

Bra nok for tek-nettverket, tydeligvis.

 

Hva så? Wikipedia bruker det også, og Facebook, men det betyr ikke at det er et bra verktøy.

 

PHP sin compiler lager ikke et abstrakt syntakstre. Istedet så dytter det ut opcodes etterhvert som den møter på kode, som betyr at PHP har svært liten mulighet for å gjøre noen som helst optimalisering. Det har vært et system som har vært sterkt preget av dårlige rutiner, og massive sikkerhetshull i bauger og kanter. Kidlekoden er så uhåndterlig at utviklerne ikke var istand å innføre unicode-støtte i parseren. Dermed klarer ikke PHP å lese byte-order mark, og dersom den møter på eksempelvis UTF-16 så vil den bare spytte ut kildekoden til leseren (ettersom alle webbrowsere forstår UTF-16 helt fint).

Hva funksjoner returnerer av feilkoder varierer helt fra funksjon til funksjon, og noen (slik som strcmp) har ikke noen dokumentert feilkode annet enn det folk har funnet ut av i kommentarene.

PHP er kanskje det eneste scriptspråket i verden hvor SEGMENTATION FAULT er et dokumentert resultat av en funksjon (clone() med en syklisk referanse).

Parseren har masse feil i seg, og noen ting er definert som parser tokens når de overhode ikke burde vært det (array() for eksempel). Det er feil med operator presedence, og noe funksjonalitet slik som and og or er direkte forvirrende.

 

Språket, runtime og standardbibliotek er helt hinsides det en kan forvente av et verktøy som er såpass utbredt som PHP.

 

Visste du at utviklerne laget try...catch men droppet i utgangspunktet finally fordi de mente det var ubrukelig i PHP? De la det til ettehvert grunnet press. Åja, dokumentasjonen for try...catch foreslår å bruke goto for å gå tilbake til try blokken igjen.

 

Nei, PHP sitt rykte er sterkt fortjent.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...