curso SEO Training Rosa
Grupo SEO TELEGRAM [Click Aquí]
Resultados 1 al 13 de 13
Tema:

Marzo será el mes de los fallos en PHP

  1. #1
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado Marzo será el mes de los fallos en PHP

    SecurityFocus publica una entrevista con Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo de programadores de este lenguaje no está concienciado con respecto a la seguridad. Por ello ha decidido crear el mes de los fallos en PHP.

    Stefan Esser es un profundo conocedor del código fuente PHP y un investigador muy concienciado con la seguridad. Aunque desarrollaba el núcleo de PHP desde 2001, en 2004 fundó The Hardened-PHP Project, un proyecto destinado a tratar de forma responsable la gran cantidad de fallos de seguridad que estaba encontrando en el código PHP. Esser se quejaba del modelo de desarrollo del proyecto, donde se incluían nuevas funcionalidades sin tener en cuenta el impacto en la seguridad. Terminó por dejar de confiar en el producto que él mismo desarrollaba, cuestionó el trabajo del resto de desarrolladores, fue duramente criticado por la revelación pública de problemas de seguridad y finalmente, sin apoyo y ante la pasividad de sus compañeros, abandonó su puesto.

    Esser opina que el código de PHP ha crecido demasiado rápido, que existen problemas de regresiones y que el PHP Security Response Team mira hacia otro lado. Afirma que este grupo fue capaz de confesar en público que no conocía problemas de seguridad en PHP cuando él mismo había reportado más de 20 errores sólo dos semanas antes. Es por este motivo que no piensa en que la revelación pública de estos fallos pueda considerarse "no ética".

    El mes de los fallos en PHP tiene como objetivo que los usuarios y especialmente los propios desarrolladores del código PHP tomen conciencia de que existen muchos fallos en el lenguaje. La fama de PHP en cuestión de seguridad es nefasta, principalmente por los "despistes" que comenten los programadores que lo utilizan como herramienta. Esser se centrará en errores específicos de PHP, no en los problemas comúnmente asociados con las aplicaciones construidas con este lenguaje (como pueden ser los fallos de inyección SQL o Cross Site Scripting) que pueden ser achacados a la gran masa de usuarios de PHP más que al lenguaje.

    Aunque esta fama no es "justa" según Esser, sí que existen problemas asociados con el propio lenguaje que son completa responsabilidad de sus creadores. Algunos fallos han estado ahí durante años y si no es de esta forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser dice conocer muchos más de 31 errores, por lo que es probable que publique más de un problema de seguridad al día.

    Esta iniciativa se antoja especialmente preocupante. A diferencia de las anteriores, se centra en un sólo producto, las aplicaciones suelen estar expuestas por web y en el supuesto de que los fallos descubiertos sean "sólo" aprovechables en local, esto también podría poner en peligro a servidores de hosting compartidos que se basan en este lenguaje. PHP es uno de los lenguajes más populares en servidores web de Internet y el número de aplicaciones expuestas, tanto en local como públicamente, programadas con él es literalmente inabarcable. Según la propia php.net, 20 millones de dominios, y 1.3 millones de direcciones IP lo usan, lo que supone, según nexen.net, un 34% de páginas web. Un toque de atención que sin duda causará un gran revuelo y mantendrá ocupados a millones de administradores durante el mes de marzo.


    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3028/comentar

    Más Información:

    PHP statistics for December 2006
    http://www.nexen.net/images/stories/.../global.en.png

    Usage Stats for November 2006
    http://us2.php.net/usage.php

    PHP Security From The Inside
    http://www.securityfocus.com/columnists/432/3

    Sergio de los Santos
    ssantos@hispasec.com

  2. #2
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado

    Un tironcito de orejas por parte de Esser al PHP Security Response Team..
    Habra que ir comprando aspirinas desde ya para soportar los dolores de cabeza en marzo.., mas que nada por la cantidad de juakercitos que van a tratar de aprovecharse de estos fallos.., espero que sean extremadamente dificiles de explotar...mas no se puede pedir.., ah y que lo solucionen rapido XD

  3. #3
    Avatar de xavierx
    xavierx está desconectado Registrado

    User Info Menu

    Predeterminado

    estamos bien jodidos ..
    www.forodewebmasters.com
    El foro más profesional del mercado adulto.
    Con 100 post te ganas una taza para café como esta

  4. #4
    Leonardo Invitado

    Predeterminado

    Si, se han boludeado con varios agujeros parece. Y digo parece porque si es cierto que hay tantos fallos no listados, si se descubren en 1 mes, sería funesto :mad:

    Igual PHP es y será por excelencia EL lenguaje Web

  5. #5
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    Cita Iniciado por Xyborg Ver Mensaje
    Un toque de atención que sin duda causará un gran revuelo y mantendrá ocupados a millones de administradores durante el mes de marzo.
    como les de por sacar un parche cada dia, podemos prepararnos...

  6. #6
    gomin Invitado

    Predeterminado

    Me parece un reverendo disparate hacer públicos todos los fallos. El tipo lo que busca es notoriedad a expensas de aumentar los riesgos de ataques.
    Esa no es la manera de actuar: que publiquen los parches primero o que se callen pues en manos de los hackercitos esa información es funesta.

  7. #7
    Dev~> Invitado

    Predeterminado

    Creo que si la gente de PHP esta sacrificando esfuerzos en agregale features en vez de cuidar por lo menos un minimo la seguridad ...estan en falta ,
    yo creo que le tengo mas miedo a loshackers grandes que en 5 minutos te hackean nose cuantos miles de server que a los hackersitos, por que un hacker de verdad no espera que alquien publique los bugs los encuentra el mismo...asi como hace este.
    Si la idea es darle una palmada al PHP group me parece perfecto.

  8. #8
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado

    Cita Iniciado por gomin Ver Mensaje
    Me parece un reverendo disparate hacer públicos todos los fallos. El tipo lo que busca es notoriedad a expensas de aumentar los riesgos de ataques.
    Esa no es la manera de actuar: que publiquen los parches primero o que se callen pues en manos de los hackercitos esa información es funesta.
    estas confundido... no busca notoriedad, el tipo se canso de que no le dieran pelota con el tema de seguridad, le agregaban mas caracteristicas y miraban a otro lado cuando se hablaba de fallos en PHP, ahora con esto lo que busca es que de una vez por todas piensen y hagan las cosas como debe ser.., fijate bien no es cualquiera el que lo hace, o necesita notoriedad, el pobre esta harto que no le den pelota y esto del "mes de los fallos" le parecio lo mejor para llamarles la atencion.

    :lanzalla:

    y lo de hacer publicos o no los fallos, es tema de discusion desde hace años, pero a veces no queda otra...

  9. #9
    Avatar de Hades
    Hades está desconectado Registrado
    Rango: Soy accionista de Google!!

    User Info Menu

    Predeterminado

    Cita Iniciado por Leonardo Ver Mensaje
    Si, se han boludeado con varios agujeros parece. Y digo parece porque si es cierto que hay tantos fallos no listados, si se descubren en 1 mes, sería funesto :mad:

    Igual PHP es y será por excelencia EL lenguaje Web
    Si, hasta que te hackean el sistema, despues de seguro no va a ser el favorito.

  10. #10
    gomin Invitado

    Predeterminado

    Cita Iniciado por Xyborg Ver Mensaje
    y lo de hacer publicos o no los fallos, es tema de discusion desde hace años, pero a veces no queda otra...
    Es un tema polémico del cual tengo una posición formada: no hay que hacerlos públicos por ninguna razón. Parchealos con reserva y luego publicá los parches. Es de sentido común. Si me enojo con un cerrajero porque hace llaves inseguras no le regalo las llaves a los ladrones para demostrarles a los demás que yo tenía razón.

  11. #11
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado

    mm, lo del full disclosure... hacer publicas las fallas mas de una vez es un mal necesario, porque tenes empresas que directamente no te dan pelota y no solucionan la fallas, y no queda otra que hacerla publica.., ademas, este el parche o no, menos de un 40% de los usuarios actualizan, el resto no... y eso que es sentido comun, pero la ignorancia supera a eso. Y uno no regala las llaves a los ladrones, solo mete presion para que el cerrajero se ponga media pila y arregle sus cerraduras, que un ladron aproveche eso es otro tema.

    Te doy un ejemplo.., en el 2004 RedLink tenia unas graves fallas en su homebanking, sql injection y xss, durante 3 meses estuve enviandoles mails, no dieron pelota, no quedo otra que hacerlo publico (pero sin dar detalle), para que se decidieran a repararlo, no era gran cosa, en una hora se hacia eso, pero se demoraron un mes mas...

    Y volviendo al ejemplo del cerrajero, que pensarias vos si un dia cae el mismo y te dice: Hola vengo a cambiarte la cerradura porque tiene una falla que con un mondadientes la habre hasta un niño de 5 años, y vos te preguntas como se entero y el te dice: ah tu vecino me lo comento hace 6 meses, y recien ahora me convenia arreglarlo porque saque una cerradura nueva y no me convenia hacerlo antes cuando esta era la ultima frabricada por mi.., que pensarias ahi? tu vecino tuvo acceso a tu casa durante 6 meses y no te dijo nada, el cerrajero por no quedar mal y perder dinero tampoco, y espero todo ese tiempo para cuidar su bolsillo...; si tu vecino lo hubiese hecho publico vos habrias podido tomar las medidas necesarias como por ejemplo poner una cerradura extra o cambiarla por una de otra marca, y tal vez el cerrajero lo hubiese solucionado en una semana en lugar de esperar 6 meses.


  12. #12
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    lo habitual suele ser

    -primero se comunican los fallos al "fabricante" para que pueda preparar los parches.

    -Segundo, tras pasar un tiempo pruducencial, se libera la informacion, de forma que haya parche para el problema.

    El punto segundo presiona al fabricante para sacar la solucion a tiempo.

  13. #13
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado

    si, ese es el "protocolo"... pero hay veces que ni las grandes empresas lo respetan.-

Temas Similares

  1. Barcelona será la capital del negocio del dating en Internet en Marzo
    Por TBS_Andreas en el foro Enlaces y Reseñas
    Respuestas: 1
    Último Mensaje: 21/12/2011, 15:49
  2. Barcelona será la capital del negocio del dating en Internet en Marzo
    Por TBS_Andreas en el foro General SoyWebmaster
    Respuestas: 0
    Último Mensaje: 21/12/2011, 13:00
  3. Que fallos veis pq me sigen rechazando los FS?? gracias
    Por mateudesigner en el foro Webmasters Porno
    Respuestas: 5
    Último Mensaje: 16/11/2005, 19:17
  4. Que fallos tiene mi FS que no haya aceptado megasitioxxx?
    Por mateudesigner en el foro Webmasters Porno
    Respuestas: 6
    Último Mensaje: 15/11/2005, 15:08
  5. Fallos de seguridad críticos en PHP
    Por xavierx en el foro Webmasters Porno
    Respuestas: 0
    Último Mensaje: 18/12/2004, 12:52

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  
Has visto el post " Marzo será el mes de los fallos en PHP" que está en esta URL y ha sido creado por el usuario Xyborg. Esperamos que te haya sido de utilidad el artículo " Marzo será el mes de los fallos en PHP" que inició el usuario Xyborg de Soywebmaster.com.

Otros Foros de Interés

Curso SEO - Foro SEO - Foro Programacion - Foro Diseño Web - Intercambio de Enlaces - Negocios por Internet - Como Ganar Dinero - Foro Hosting - Foro Apuestas Deportivas

ÚLTIMOS ARTÍCULOS DEL BLOG SEO DE DAVID AYALA

Enlaces UGC, Sponsored y Nofollow [QUE NO TE ENGAÑEN]
Cómo y cuando usar Disavow Tool de Google
Cómo y donde comprar enlaces
El Curso de SEO Local que estabas esperando
Usamos cookies que analizan hábitos de comportamiento y navegación que aceptas al navegar aquí. Política de privacidad | Cookies | Aviso legal