[linux-l] Jeden Tag neuer PHP-Ärger

Oliver Bandel oliver at first.in-berlin.de
Fr Nov 11 15:54:08 CET 2005


On Fri, Nov 11, 2005 at 02:46:45PM +0100, Bodo Eichstdt wrote:
> Olaf Radicke schrieb:
> >Hi!
> >
> >Fast jeden Tag Meldungen wie diese zum Thema PHP...
> >http://www.heise.de/security/news/meldung/66053
> >  
> Bitte höre auf, hier mit Halbwissen die Leute vermeintlich 
> warnen/belehren zu wollen. Stimmungsmache ohne Alternative kann keiner 
> gebrauchen.

Die Alternative kommt dann ja vielleicht noch nach,
wenn die Stimmungsmache gut genug war. ;-)

Wenn alles bleibt wie es ist, weil keiner sich drüber aufregt,
dann wird auch kaum Interesse an der Entwicklung von Alternativen
aufkommen...

> 
> Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf 
> die (da gebe ich Dir recht) lausige Standard-Konfiguration. Der 
                              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Naja... also dann sollte - mindestens - dies mal geändert werden.


> Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich" 
> Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder 
> Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken. 

Naja, es gab da letztens auch probleme mit dem Überschreiben
von globalen variablen usw. was eindeutig ein Bug war.


> Weiterhin gibt es chroots, vserver uvwm.

Das sind natürlich zusätzliche Möglichkeiten, aber
eigentlich Umwege/Notlösungen.
Klar sollte erst mal sein: man entwickelt saubere Lösungen,
die von sich aus keinen Mist erlauben.

Klar, Fehler können immer wieder mal auftreten. Aber wenn
ein System/eine Sprache diese auch nicht einzudämmen hilft,
dann wäre da mal ne Überlegung sinnvoll, was zu ändern.


> Security _kann_ nicht beim Interpreter aufhören,

Sollte da aber wenigstens anfangen.
Danach sieht's bei PHP aber nicht aus...

> sonder muss sich auch 
> auf die Applikation und das Betriebssystem erstrecken. Sprich: der 
> Gesamtkontext.

Klar. Aber auf diesen zu pochen und dann doch schrott einzusetzen bedeutet,
den Gesamtkontext eben doch zu vernachlässigen.

> >...Als Admin, der gezwungen ist PHP zu installieren, muss das ja die Hölle 
> >sein.
> >  
> Nicht wenn man weiss wie. Der geneigte Admin wird per in der Doku & per 
> Google Hinweise finden. Stichworte:
> - Hardened PHP
> - open_basedir
> - safe_mode
> - upload_tmp_dir
> - upload_max_filesize
> - post_max_size
> - magic_quotes_gpc
> - enable_dl
> - magic_quotes_runtime
> - session.cookie_path
> etc.
> 
> Oder anders:
> Als Laie sollte man von so ziemlich allem die Finger lassen. ;-)

Nein.
Dann gäbe es jetzt Linux nicht in der Verbreitung.

Besser so: Die, die da "ich bin ja kein Laie mehr" zu sein meinen,
die sollten ihre SW-Pakete so gestalten, daß diese auch für Laien
sicher und gut einsetzbar sind, also z.B. die von Dir oben angeführten
Themen (Google-Hinweise) bereits von vornherein mit in der Distri
so integriert sind, daß man den Aufwand nicht dafür benutzen sollte,
das System dicht/sicher zu kriegen, sondern daß es von vornherein
sicher läuft und man für das "mehr erlauben" den Administrations-
Aufwand betreiben müsste.

Ich denke aber, daß die Entwickler da zu lax sind - ein grundsätzliches Problem.


Gruß,
   Oliver



Mehr Informationen über die Mailingliste linux-l