PHP turvalisus küsimärgi all

Zend Developer Zone jutustab, et Zeev Suraski arust on slashdot.org teda turvalisuse küsimuses valesti tsiteerinud. Nimelt väidab slashdot selle artikli alusel, et Zeevi arust on kogenematud PHP kasutajad ise ainukesena süüdi selles, kui nende veebileheküljes turvaauk sees on ning PHP enda mootori turvalisusega on kõik korras. Zeevi enda vastus siin.

Kes ei tea, siis Zeev Suraski koos Andi Gutmansiga on need kaks figuuri, kes PHP mootori sellisena nagu me seda tänapäeval tunneme kirjutanud on. Samuti on nad Zend Technologies omanikud.

Aga mis tegelikult tähelepanu väärib on see, et üks põhiline PHP turvalisuse nimel töötavatest spetsialistidest Stefan Esser on PHP tiimist omal soovil lahkunud ning seda nö. uksi paugutades.

Esserile ei meeldi see, et PHP mootori arendajad turvalisusele liiga vähe tähelepanu pööravad ning vastutust turvaaukude puhul endalt ära lükkavad. Edaspidi lubab Esser hakata PHP mootorist leitud turvaauke avalikustama isegi siis, kui sellele veel turvapaik loomata on.

Esseri poolt on välja töötatud PHP “nõrki” kohti parandav ning buffer-overflow exploite ennetav Hardening Patch for PHP ning selle edasiarendus PHP mooduliks nimega Suhosin.