PHP goeroe start maand van PHP lekken
Beveiligingsexpert Stefan Esser, die onlangs uit onvrede het PHP Security Response Team verliet, zal in navolging van de maand van de kernel, browser en Apple bugs de komende 31 dagen verschillende beveiligingslekken in PHP onthullen. Volgens Esser heeft het initiatief niets te maken met zijn onvrede over de lakse manier waarop PHP met beveiligingsproblemen omgaat, maar zou het resultaat van een PHP audit zijn.
"Als je beveiligingslekken publiceert in iemand anders z'n code of in de manier waarop ze met bugs omgaan, dan voelen de ontwikkelaars zich meestal gekwetst of aangevallen" aldus Esser.
Eerder liet Esser nog weten dat de PHP Group alle pogingen om de populaire scripttaal veiliger te maken saboteerde. "Zodra je zegt dat PHP's beveiligingsproblemen door de gebruiker veroorzaakt worden zijn ze je vriend, heb je het over de beveiliging van PHP, dan word je tot persona non grata verklaard. Ik ben gestopt te tellen hoe vaak ik voor een immorele verrader ben uitgescholden".
Inmiddels heeft Esser al vijf PHP bugs bekend gemaakt. In een aantal gevallen zal het PHP Security Response Team van tevoren worden ingelicht, maar een aantal lekken zal Esser "full-disclosure style" publiceren.
van PHP en niet om de beveiliging. Straks moeten we nog gaan betalen
voor PHP en dan krijg je een 2de microsoft erbij. Grote naam, weinig
beveiliging
Open Source... Als Microsoft zou besluiten om Nederlanders 350 euro te
laten betalen voor Vista omdat hij Nelie Smit Kroes niet liev vindt, dan komt
er geen windhoos-fork uit. Oh, dat is ook de prijs al...
Dit is wel erg ook. Het gaat ze dus kennnelijk alleen om de
bekendheid
van PHP en niet om de beveiliging. Straks moeten we nog gaan
betalen
voor PHP en dan krijg je een 2de microsoft erbij. Grote
naam, weinig
beveiliging
Het heeft helemaal niks met marketing te maken. PHP is een
van de meeste gebruikte en bekende script talen op dit moment.
Stefen Esser gaat het alleen om het feit dat niet alle
bugs/security risks goed behandeld worden door het PHP
security response team. Dat is ook de reden dat hij ermee
gestopt is. Met als resultaat full-disclosure reports.
Het is gevaarlijk.. maar wel nodig..
Het heeft helemaal niks met marketing te maken. PHP is een
van de meeste gebruikte en bekende script talen op dit moment.
Stefen Esser gaat het alleen om het feit dat niet alle
bugs/security risks goed behandeld worden door het PHP
security response team. Dat is ook de reden dat hij ermee
gestopt is. Met als resultaat full-disclosure reports.
Het is gevaarlijk.. maar wel nodig..
Dat het gevaarlijk is zal iedereen beamen, maar waarom is het
desondanks nodig m.a.w. welke bedreigde security-belangen nu wegen
zwaarder dan een full disclosure?
Motiveren graag.
Het heeft helemaal niks met marketing te maken. PHP is een
van de meeste gebruikte en bekende script talen op dit moment.
Stefen Esser gaat het alleen om het feit dat niet alle
bugs/security risks goed behandeld worden door het PHP
security response team. Dat is ook de reden dat hij ermee
gestopt is. Met als resultaat full-disclosure reports.
Het is gevaarlijk.. maar wel nodig..
Dat het gevaarlijk is zal iedereen beamen, maar waarom is het
desondanks nodig m.a.w. welke bedreigde security-belangen nu
wegen
zwaarder dan een full disclosure?
Motiveren graag.
Nodig omdat het PHP security response team zelf steken laat
vallen. En met het achterhouden van security risks/bugs is
niemand gebaat. Het is wellicht gevaarlijk om dit dmv
full-disclosure te doen. Maar hoe schudt je mensen anders
wakker? Ik ben er wel blij mee in iedergeval. Als Steffan
het niet doet. Dan mischien iemand met minder goede
bedoelingen.
Nodig omdat het PHP security response team zelf steken laat
vallen. En met het achterhouden van security risks/bugs is
niemand gebaat. Het is wellicht gevaarlijk om dit dmv
full-disclosure te doen. Maar hoe schudt je mensen anders
wakker? Ik ben er wel blij mee in iedergeval. Als Steffan
het niet doet. Dan mischien iemand met minder goede
bedoelingen.
-het PHP Security Response Team laat steken vallen
-het achterhouden van security risks/bugs
-mensen wakkerschudden
Deze argumenten zijn m.i. vaag, getuigen van wantrouwen en naief in de
bedoeling. Het zegt meer over de bedrijfscultuur waarbinnen dit zich
afspeelt dan over de securitybelangen van de consument. Stefan Esser
kan best integer zijn dan anderen, maar bij iedereen heeft full disclosure
hetzelfde effect. Men kan makkelijker bij een niet-integer persoon erbij
denken dat die een virus bij zal leveren als die tot full disclosure overgaat.
Echter, in alle gevallen is het belang van de consument inzet van het
conflict en dat is geen goed uitgangspunt, tenzij er gelijk een patch wordt
meegeleverd.
Deze discussie is al tig keren gevoerd en is kennelijk nog geen
uitgemaakte zaak.
vulnerabilities achterhouden met patchen. Meer het feit dat de core
programmeurs er nogal een handje van hebben om de schuld bij de
gebruiker (webscripter) te leggen. Natuurlijk zit hier ook weer wat in, maar
PHP biedt gewoon nutteloze functionaliteit die vanuit security standpunt op
zijn zachts gezegd bedenkelijk zijn, onder het mom van 'gebruikersgemak'.
PHP is gewoon overduidelijk uit zijn jasje gegroeid en misschien wordt
het eens tijd dat iemand zijn of haar stoute schoenen aantrekt en een
fork gaat schrijven. Iemand die veiligheid wel belangrijker vindt dan
gebruikersgemak en misschien wordt PHP dan toch nog ooit eens een
volwassen ontwikkelomgeving.
Stefan...? ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.