Marzo será el mes de los fallos en PHP

Tema: 

SecurityFocus publica una entrevista con Stefan Esser, fundador del
proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha
abandonado recientemente. Durante años ha contribuido al desarrollo de
PHP y considera que el núcleo de programadores de este lenguaje no está
concienciado con respecto a la seguridad. Por ello ha decidido crear el
mes de los fallos en PHP.

Stefan Esser es un profundo conocedor del código fuente PHP y un
investigador muy concienciado con la seguridad. Aunque desarrollaba el
núcleo de PHP desde 2001, en 2004 fundó The Hardened-PHP Project, un
proyecto destinado a tratar de forma responsable la gran cantidad de
fallos de seguridad que estaba encontrando en el código PHP. Esser se
quejaba del modelo de desarrollo del proyecto, donde se incluían nuevas
funcionalidades sin tener en cuenta el impacto en la seguridad. Terminó
por dejar de confiar en el producto que él mismo desarrollaba, cuestionó
el trabajo del resto de desarrolladores, fue duramente criticado por la
revelación pública de problemas de seguridad y finalmente, sin apoyo y
ante la pasividad de sus compañeros, abandonó su puesto.

Esser opina que el código de PHP ha crecido demasiado rápido, que
existen problemas de regresiones y que el PHP Security Response Team
mira hacia otro lado. Afirma que este grupo fue capaz de confesar en
público que no conocía problemas de seguridad en PHP cuando él mismo
había reportado más de 20 errores sólo dos semanas antes. Es por este
motivo que no piensa en que la revelación pública de estos fallos pueda
considerarse "no ética".

El mes de los fallos en PHP tiene como objetivo que los usuarios y
especialmente los propios desarrolladores del código PHP tomen
conciencia de que existen muchos fallos en el lenguaje. La fama de PHP
en cuestión de seguridad es nefasta, principalmente por los "despistes"
que comenten los programadores que lo utilizan como herramienta. Esser
se centrará en errores específicos de PHP, no en los problemas
comúnmente asociados con las aplicaciones construidas con este lenguaje
(como pueden ser los fallos de inyección SQL o Cross Site Scripting) que
pueden ser achacados a la gran masa de usuarios de PHP más que al
lenguaje.

Aunque esta fama no es "justa" según Esser, sí que existen problemas
asociados con el propio lenguaje que son completa responsabilidad de sus
creadores. Algunos fallos han estado ahí durante años y si no es de esta
forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser
dice conocer muchos más de 31 errores, por lo que es probable que
publique más de un problema de seguridad al día.

Esta iniciativa se antoja especialmente preocupante. A diferencia de las
anteriores, se centra en un sólo producto, las aplicaciones suelen estar
expuestas por web y en el supuesto de que los fallos descubiertos sean
"sólo" aprovechables en local, esto también podría poner en peligro a
servidores de hosting compartidos que se basan en este lenguaje. PHP es
uno de los lenguajes más populares en servidores web de Internet y el
número de aplicaciones expuestas, tanto en local como públicamente,
programadas con él es literalmente inabarcable. Según la propia php.net,
20 millones de dominios, y 1.3 millones de direcciones IP lo usan, lo
que supone, según nexen.net, un 34% de páginas web. Un toque de atención
que sin duda causará un gran revuelo y mantendrá ocupados a millones de
administradores durante el mes de marzo.

[url]www.hispasec.com[/url]

Comentarios

Yo ahora estoy de cabeza

Yo ahora estoy de cabeza aprendiendo php5 Orientado a objetos , porque es la forma más profesional de programar y he visto que los lenguajes de programacion basados en WEB mas utilizado en el mercado son Java y C# . Por eso pienso que PHP 5 ya quiere llegar al nivel de JAVA y con PHP 6 mejorarlo.
También he visto en la WEB el avance que ha tenido Ruby on Rails( Rubí Sobre Rieles) y "obligó" a que la empresa Zend se embarcara en el proyecto para crear su propio Framework de desarrollo rápido
[b]Que recomiendan, seguir con PHP o cambiarse a Ruby?[/b]
Esta imagen puede decir mucho

Si necesitas un framework

Imagen de Tonny

Si necesitas un framework sencillo potente estándar solamente debes saber el lenguaje java, es imposible que con esos dos libros puedas hacer algun portal grande y complejo que necesite lo que hibernate, struts, lo han logrado durante años ya sabes que no todo lo que brilla es oro.
El Microsoft .NET es un poco mas fácil, pero igual no llega ni a un 30 % de sitios empresariales, mi consejo si la aplicación es compleja y necesita de fácil mantenimiento migracion utiliza java, pero si el sitio es pequeño sigue con el php, no es que ste en contra de Ruby es mas muchas cosas me gustan pero todavia es muy temprano como para utilizarlo en proyectos criticos.

Crear aplicaciones web sencillas y rápidas también lo consigues con java server faces un framework estandar soportado por muchos entornos, arrastras y soltar, asistentes, generacion de codigo, etc.

Uso hace mucho tiempo los

Imagen de Epe

Uso hace mucho tiempo los parches de esser, los parches de hardened-php de hecho hace un tiempo hablé del hardened-php y la noticia pasó como muchas... al vacío.

Me agrada que se publiquen los problemas para que sean corregidos.. pero lo bueno de esser es que no perdona una, es muy estricto y buenazo.

Desde hace varios años (unos 2 al menos o 3) creo los rpm para centos/rhel con hardened-php incluido, el que los desee, puede bajarlos de http://packages.ecualinux.com es el php-4.4.4 listo para sustituir al php que viene propio de centos 4/rhel 4

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre