Проблеми додатків на PHP стали “головним болем” фахівців з безпеки
18:43 03.02.2007На веб-додатки, що написані мовою PHP, приходиться 43% всіх проблем, позв’язаних з безпекою інформаційних мереж. Такі результати дослідження, проведеного в поточному році американським Національним інститутом стандартів і технології (NIST). У 2005 році на частку додатків на платформі PHP приходилося всего 29% уразливостей. З урахуванням того, що число дір у самій мові мінімально, цифри NIST показують, що проблема криється в розробниках, багато хто з яких не є професіоналами в області інформаційних технологій.
Проблеми з PHP здобувають особливу гостроту в той момент, коли дослідники сфери інформаційної безпеки стали звертати особливу увагу на діри у веб-додатках. На початку (минулого) року один з експертів звернув увагу на тенденцію зростання проломів у веб-додатках у цілому (про що я теж відмічав в своїх підсумках 2006 року) і PHP-додатках зокрема. За даними, зібраним за перші 9 місяців 2006 року, веб-додатки зайняли три верхніх позиції в списку найпоширеніших уразливостей. Наприклад, у вересні 45% інцидентів в області інформаційної безпеки були пов’язані з випадками кросс-сайт скриптінга, SQL-ін’єкцій чи уразливостей, пов’язаних зі зміною PHP файлів. В даний час PHP використовується на майже 20 мільйонах доменів і 1,3 мільйонах IP-адрес.
Популярна мова програмування стала об’єктом особливої уваги після того, як групу розробників мови залишив Стефан Ессер, що займався забезпеченням безпеки PHP. Як причину свого виходу Эссер назвав нерозторопність інших розробників у плані ліквідації загроз безпеки. У свою чергу, члени PHP Group заявили, що Эссер залишив їх через те, що втратив інтерес до розробки в складі їхньої команди.
Згідно даним NIST, за станом на 15 грудня з 6198 уразливостей, зафіксованих у 2006 році, 2690 (чи 43%) містили в описі слово “PHP”. “Я думаю, звичайним людям важко створювати безпечні динамічні веб-додатки. Мови для створення сайтів повинні бути максимально адаптовані під “чайників”. У багатьох випадках я, будучи професіоналом в області безпеки, ламав голову над тим, як зміцнити безпеку коду. Я хотів зміцнити її, але для мене не було очевидним, як це зробити”, - заявив представник NIST Пітер Мелл.
По матеріалам http://www.securitylab.ru.
Субота, 19:33 03.02.2007
>Мови для створення сайтів повинні бути максимально адаптовані під “чайників”.
Таке ляпнути багато розуму не тре. Я люблю PHP як зручну мову із файним інтерпретатором і великими можливостями, врешті-решт - це мій хліб. І вважаю, що такі заяви - нісенітниця. Адаптувати треба інструменти, як от приміром використання багатьох файних фреймворків “змушує” до написання більш якісного коду. Бо ж і продукти нібито не від чайників теж діряві як теє решето (як от Wordpress чи phpBB). В тому числі треба йти вперед і не зациклюватися на 4й версії, яка досі абсолютно домінує, водночас має ряд проблем типу register_globals = On за умовчанням і подібне. НМСД, це хвороби зростання. П’ятірка - то вже добрий інструмент для вирішення дуже серйозних задач, в той же час вона не втратила гнучкості і краси PHP. Це загалом ненормальна ситуація, коли так довго не вводиться в користування нова, покращена версія продукту. Так вже склалися ряд факторів, про котрі тут не час говорити.
Друга проблема - то взагалі питання “чи займатися чайникові не своєю справою”. Звісно, то є право кожного, особливо коли інструмент дозволяє це зробити. Але треба розуміти можливі наслідки, ось і все. І коли вони можуть перевищити ціну питання розробки - треба задуматися. Це типу коли ти сам лікуєш хворобу вдома, або те саме може зробити фаховий лікар.
Третя проблема - криві руки хостерів, котрі дозволяють при зламі сайту на шаред-хостингові ще й нанести шкоду іншим клієнтам. А потім волають на PHP. Є в мене такі знайомі і багато ми з ними списів переламали з цього приводу…
Четверте. Взагалі, цьому Інтернету варто подякувати PHP за те, що він є такий як є. До вибухового зростання кількости цікавих (і не дуже, звісно) ресурсів мова має саме безпосередньє відношення, інакше розробка могла би затягнутися надовго, або навіть не відбулася через неможливість людини із цікавими ідеями замовити розробку. І вже за це PHP варто поважати.
Коротше, всі — йдіть лісом!
Понеділок, 19:10 19.02.2007
trovich, стосовно цієї фрази Пітера Мелла, з приводу мови, то ти слушно зауважив. Сам звернув на неї увагу, коли перекладав новину
, що він поспішив зі своєю заявою. І стосовно твого обурення від цих слів Пітера, то я тобі раджу написати йому листа і висказати все що ти думаєш з цього приводу 
(і про що ти написав в коментарях). Щоб він надалі більш виважено висловлювався в сторону PHP.
А відносно сомої новини, то зростання кількості уразливостей в тому числі говорить і про популярність і поширенність мови і сайтів на основі php. Що секюріті дослідники та хакери регулярно знаходять дірки в додатках на php, яких чимала кількість. Це також свідчить про якість самих программістів на цій мові та про те, що на питання безпеки мало звертається уваги на даний момент (і я намагаюся змінити цю ситуацію).
Як відомо, інструмент (в даному випадку мова PHP) не відповідальний за наслідки його використання - кожен інструмент можна використовувати як на користь, так і на шкоду. Завжди є дві сторони. Тому не треба мову звинувачувати в проблемах программістів, які нею користуються (на що ти і звернув увагу). З часом це в них пройде.
Також методологія підрахування кількості % уразливостей саме в php додатках в даному дослідженні не є досконалою. Тому що пошук в багтреці по слові “php” ще не дасть повної картини (лише “php includes”, як локальні, так і віддалені).
Чимало уразливостей, які мають місце на різних платформах (XSS, SQL Injection), не мають в своїй назві ніяких приставок мови (та й в назвах дір та експлоітів в багтреках не рідко просто не згадується мова вразливого додатка). Це аж ніяк не зменшує проблем й інших мов, в кожній з яких є свої особливості. Про котрі завжди повинен пам’ятати програміст, який використовує дану мову. І завжди проводити аудити безпеки своїх веб додатків та веб сайтів. Тому треба підвищувати рівень веб програмістів, поширювати знання з веб безпеки (зокрема, для веб розробників я створив свій Посібник з безпеки), та регулярно перевіряти безпеку своїх веб розробок.
Понеділок, 19:38 19.02.2007
Маю пропозицію, яка може тебе зацікавити. Хочу запропонувати трохи матеріалу українською щодо PHP-безпеки, та й не тілько. Звісно, я не Штефан Ессер і не Веденей
, але дещицю досвіду маю. Сам ніяк не зберусь зайнятися, а от долучитися до живого проекту можу вже зараз. Якщо тебе цікавлять такі “гостьові” статі - відпишись на мило як би ти хотів це бачити і всьо такоє 
Субота, 15:26 24.02.2007
trovich, спасибі з пропозицію.
Вона цілком слушна і актуальна. Детально з цього приводу я тобі на емайл напишу.