[linux-l] Jeden Tag neuer PHP-Ärger
Olaf Radicke
olaf_rad at gmx.de
Fr Nov 11 15:38:59 CET 2005
Am Freitag, 11. November 2005 14:46 schrieb Bodo Eichstädt:
> Olaf Radicke schrieb:
> > Hi!
> >
> > Fast jeden Tag Meldungen wie diese zum Thema PHP...
> > http://www.heise.de/security/news/meldung/66053
>
> Bitte höre auf, hier mit Halbwissen die Leute vermeintlich
> warnen/belehren zu wollen.
Ich habe lediglich ein Link gepostet und mein Eindruck dazu kund getan. Jetzt
weiß ich nicht, ob du mein Eindruck oder den Link als "Halbwissen"
bezeichnest. Beides scheint mir unangemessen.
> Stimmungsmache ohne Alternative kann keiner
> gebrauchen.
Ich mache keine Stimmung, sondern gebe *meine* Stimmung/Eindrücke wieder. Ein
Recht, was im GG verankert ist.
Aber du hast ja jetzt die Gelegenheit die Ehre von PHP zu retten. Wann immer
ich mal wieder ein PHP-Buch in die Hand nahm und versuchte mich dafür zu
begeistern, bekam ich nach kurzer Zeit Gänsehaut und legt es wieder zurück.
Alternative sollten wohl bekannt sein u.a. CGI, ASP, Java...
> Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf
> die (da gebe ich Dir recht) lausige Standard-Konfiguration.
Welche Konfiguration? Die von den PHP-Skripten oder des System drumherum
(Apache e.t.c.)?
> Der
> Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich"
> Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder
> Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken.
Warum ist das dann nicht default Einstellung? Offenbar laufen dann die meisten
PHP-Skripte nicht mehr.
> Weiterhin gibt es chroots, vserver uvwm.
Die Philosophie Erinnert mich an die alten Bundeswehr-Hubschrauber (Bell UH-1,
Bj. 1965), die durch die Reparatur-Flickern und Nachrüstungen so schwer
geworden sind, das sie z.T. kaum mehr 50% der nenn-zuladung erreichen und
nicht mehr vollbeladen fliegen können...
MfG
Olaf
Mehr Informationen über die Mailingliste linux-l