Esser: "PHP laat ernstig lek bewust zitten"
PHP-beveiligingsonderzoeker Stefan Esser heeft ontdekt dat een lek in de populaire programmeertaal in de nieuwe versie 5.2.3 nog steeds niet gedicht is, ook al beweert het PHP Team van wel. "De originele fix was niet alleen stuk, maar complete onzin," schrijft Esser op zijn blog. Verder blijkt dat niet alle security fixes door het PHP Team vermeld zijn, en zijn niet alle bekende beveiligingslekken op een correcte manier verholpen.
Esser ligt al enige tijd met het PHP Team overhoop, en verliet eind 2006 uit onvrede over het beveiligingsbeleid het PHP Security Response Team.
Essers enige doel bij het verspreiden van dit soort berichten het marketen
van zijn eigen Suhosin patchset lijkt te zijn.
Doorgaans heeft Stefan best een punt met de bugs die gevonden worden,
maar de wijze waarop hij daarmee omgaat is simpelweg puberaal.
Dankzij die opstelling wordt hij dan ook volledig genegeerd, jammer, maar
helaas wel logisch.
Het zou hem sieren om eens gewoon één blogpost te doen zonder direct
op erg kinderlijke wijze de PHP Group een trap na te geven.
Op deze manier blijft hij gewoon een irritant en zielig mannetje.
Ter informatie: http://daylessday.org/archives/5-Fud-as-a-marketing-
strategy.html
Het zou van enig fatsoen getuigen om even erbij de vermelden dat Stefan
Essers enige doel bij het verspreiden van dit soort berichten het marketen
van zijn eigen Suhosin patchset lijkt te zijn.
Doorgaans heeft Stefan best een punt met de bugs die gevonden worden,
maar de wijze waarop hij daarmee omgaat is simpelweg puberaal.
Dankzij die opstelling wordt hij dan ook volledig genegeerd, jammer, maar
helaas wel logisch.
Het zou hem sieren om eens gewoon één blogpost te doen zonder direct
op erg kinderlijke wijze de PHP Group een trap na te geven.
Op deze manier blijft hij gewoon een irritant en zielig mannetje.
Ter informatie: http://daylessday.org/archives/5-Fud-as-a-marketing-
strategy.html
Je hebt gelijk. Het komt doordat hij zich niet serieus genomen voelt door
PHP. Ach ja. Zulke eikels heb je er altijd bij.
alvorens we het vingertje naar Stefan Esser gaan wijzen.
Als ik constant moeite zou doen om me in te zetten voor de
security van PHP en constant te horen krijg dat het fouten
van de gebruikers zijn of er niet eens de moeite wordt
gedaan om te kijken wat het probleem nou precies is, zou mij
de moed ook in mijn schoenen zakken. Die patch voor die
integer overflow was echt 'huilen met de pet op' en geeft
maar weer eens aan wat de kennis bij het PHP development
team is.
Dit verhaal speelt overigens al heel erg lang en is juist de
reden dat Stefan Esser begonnen is met het ontwikkelen van
de Suhosin (en voorheen hardened-php) patch en uit het
PHP-security team gestapt is. Dat FUD verhaal rammelt dus
aan alle kanten.
Laten we dan ook maar even voor het gemak niet vergeten dat
dit niet zomaar een 'eikel' is, maar wel een 'eikel' met
verreweg het meest verstand van PHP security dan wie dan
ook, inclusief developers, en iemand die zich nog steeds, na
al die ellende, inzet voor een veiligere PHP omgeving.
Ik ben als PHP developer, die geeft om de veiligheid van
zijn applicaties, maar al te blij dat er iemand als Stefan
Esser is.
kennis van de PHP core te verwijten, in tegendeel.
Echter, de manier waarop hij denkt te kunnen omgaan met eigenlijk
iedereen behalve hemzelf grenst gewoon aan een
persoonlijkheidsstoornis.
De voornaamste reden waarom Stefan uit het Security team is gestapt (of
gesaneerd, afhankelijk van de bron) is gewoon simpelweg omdat het
volstrekt onmogelijk is om op een normale manier met de beste man
samen te werken.
De rants die hij bij iedere mogelijke gelegenheid ophangt richting de PHP
Group geven ook niet echt een indicatie dat hij bepaald 'het beste
voorheeft' met PHP, eerder het tegenovergestelde.
Overigens is "al die ellende" (zie bovenstaande post) grotendeels door
hemzelf veroorzaakt.
Als PHP ontwikkelaar ben ik inderdaad blij dat bugs ontdekt en gefixed
worden, iemand met de persoonlijkheid van Stefan Esser ben ik
desalniettemin liever gewoon voorgoed kwijt.
communicatief niet echt vaardig zijn is al langer bekend. Mij gaat het met
name om de boodschap niet om de manier waarop dit over wordt gebracht.
Tevens lezen wij, ik neem even aan dat je niet bij het PHP security team zit,
alleen wanneer deze communicatie fout verloopt.
Hoe de samenwerking verloopt kan ik helaas niet over oordelen, heb
jammergenoeg nog nooit met de beste man mogen samenwerken, maar
ik heb toch liever iemand in mijn security team die communicatief minder
sterk is en meer technische diepgang heeft dan een self-claimed php
security expert als Chris Shiflett. Om maar even een voorbeeld te noemen.
met regelmaat de internals list.
De wijze waarop hij in staat is gewoon een simpele
willekeurige thread tot een volledige flamewar om te laten
slaan is werkelijk onnavolgbaar.
Het maakt ook simpelweg niet uit of er normaal op hem
gereageerd wordt, er is altijd wel een aanleiding om te
escaleren.
"Communicatief minder sterk" is wel understatement van het
jaar, wat hij doet is gewoon het verbale equivalent van met
de ogen dicht een magazijn unloaden op het eerste de beste
willekeurige slachtoffer.
Vind het dan ook niet bijzonder raar dat zijn mails
inmiddels gewoon genegeerd worden.
Dat daardoor wellicht bugs overgeslagen worden is natuurlijk
niet goed te praten, maar we hebben het hier wel nogsteeds
over een open-source project en daarbijbehorende
community, als je niet in staat bent op een normale
wijze in een samenleving te opereren, val je er vanzelf buiten.
En daar is Stefan dan ook met de chirurgische precisie van
een kruisraket in geslaagd.
om even erbij de vermelden dat Stefan Essers enige doel bij
het verspreiden van dit soort berichten het marketen van
zijn eigen Suhosin patchset lijkt te zijn.
...
Het zou hem sieren om eens gewoon één blogpost te doen
zonder direct op erg kinderlijke wijze de PHP Group een trap
na te geven.
Op deze manier blijft hij gewoon een irritant en zielig
mannetje.
Je opmerkingen raken kant nog wal. Moddergooien is aan de
gang maar komt van meerdere kanten. En eigenlijk is steeds
het hoofdonderwerp duidelijk: Esser is van mening dat het
PHP secrity team prutswerk levert en het PHP security team
en de gewone ontwikkelaars in het algemeen die het daar
liever niet mee eens zijn.
Esser zat bij het PHP security team maar men kreeg daar mot.
Het security team en Esser hadden (en hebben) compleet
verschillende meningen over prioriteiten en problemen. Esser
is tot op heden veel strikter en komt ook met de meeste
kwetsbaarheden. Het security team lost in haar eigen tempo
en wil de kwetsbaarheden al dan niet op. Al dat
moddergooien?! Er wordt erg makkelijk naar gegrepen, door
alle drie de partijen. Ondertussen wensen de partijen geen
stap naar elkaar te zetten.
Of Esser nu met modder gooit of welke andere partij dan ook,
de partij die het meest laks is in aandacht voor beveiliging
maar het kan verbeteren doet er het beste aan daar
verbetering in aan te brengen. Tot nu toe zie ik tussen de
modder door Esser weer het meest zijn best doen, vervolgens
het security team en daarachter hobbelt de groep algemene
ontwikkelaars die weinig meer in te brengen hebben dan de
modder zelf.
Het zou van enig fatsoen getuigen om even erbij de vermelden
dat Stefan
Essers enige doel bij het verspreiden van dit soort
berichten het marketen
van zijn eigen Suhosin patchset lijkt te zijn.
Doorgaans heeft Stefan best een punt met de bugs die
gevonden worden,
maar de wijze waarop hij daarmee omgaat is simpelweg puberaal.
Dankzij die opstelling wordt hij dan ook volledig genegeerd,
jammer, maar
helaas wel logisch.
Het zou hem sieren om eens gewoon één blogpost te doen
zonder direct
op erg kinderlijke wijze de PHP Group een trap na te geven.
Op deze manier blijft hij gewoon een irritant en zielig
mannetje.
Ter informatie:
http://daylessday.org/archives/5-Fud-as-a-marketing-
strategy.html
De wijze waarop hij doet zou me geen hol interesseren
eerlijk gezegd. Ik ben blij dat hij het doet omdat enorm
veel servers een risico lopen door die achteloosheid van het
php team.
En ja, ik gun het hem dat hij z'n eigen spullen kan promoten
door de wereld dit aan het ligt te brengen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.