PHP-Sicherheit: Stefan Esser wirft hin

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

13. Dezember 2006 um 14:38 Uhr / Jens Ihlenfeld

90 Kommentare News folgen (öffnet im neuen Fenster)

Die Gründe für seinen Abschied seien vielfältig, schreibt Esser in seinem Blog(öffnet im neuen Fenster) . Letztendlich habe er aber einsehen müssen, dass seine Bemühungen um mehr Sicherheit nutzlos seien. Wer die mangelnde Sicherheit von PHP kritisiere, werde zur "Persona non grata": "Ich habe aufgehört zu zählen, wie oft ich als unmoralischer Verräter bezeichnet wurde, weil ich Sicherheitslücken in PHP veröffentlicht oder Suhosin entwickelt habe" , so Esser.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT Netzwerk Architekt/Netzwerkadministrator (m/w/d) Vereinigte Hagelversicherung VVaG, Gießen,Homeoffice (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Praxisorientierte Weiterbildung GIS- und Geodatenexperte (m/w/d) GIS-Akademie GmbH, Berlin (öffnet im neuen Fenster)

Data Engineer mit Schwerpunkt AI & Power BI (m/w/d) IBC SOLAR AG, Bad Staffelstein (öffnet im neuen Fenster)

System Administrator Hard- und Software (m/w/d) DEMMEL AG, Scheidegg (öffnet im neuen Fenster)

IT-Data Engineer mit Fokus Softwareentwicklung und Projektmanagement (m/w/d) KVV Kassel, Kassel (öffnet im neuen Fenster)

Duales Studium (Bachelor of Science) Angewandte Informatik Deutsche Bundesbank, Mosbach (öffnet im neuen Fenster)

Projektmanager Normung (m/w/d) für den Bereich Home & Building VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V., Offenbach am Main (öffnet im neuen Fenster)

Bei Suhosin handelt es sich um eine Software zur Absicherung von Webservern gegen das Ausnutzen von bekannten und unbekannten Sicherheitslücken in PHP.

Künftig werde er nicht mehr verschleiern, wie lange es dauert, bis Sicherheitslücken geschlossen werden, so Esser weiter. Zudem sei damit zu rechnen, dass er auch dann auf Sicherheitslücken hinweisen werde, wenn es noch keinen Patch gibt, weil das PHP Security Response Team abgelehnt hat, die Lücke zu schließen. Unter dem Strich sei mit sehr viel mehr Hinweisen auf Sicherheitslücken durch ihn zu rechnen als bisher.

Zur Startseite 90 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Websicherheit: Verräterische Coredumps im Webverzeichnis

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.

Relevante Themen