| |
|
|
| | На веб-приложения, написанные на языке PHP, приходится 43% всех проблем, связанных с безопасностью информационных сетей. Таковы результаты исследования, проведенного в текущем году американским Национальным институтом стандартов и технологии (NIST). В 2005 году на долю приложений на платформе PHP приходилось всего 29 процентов уязвимостей. С учетом того, что число брешей в самом языке минимально, цифры NIST показывают, что проблема кроется в разработчиках, многие из которых не являются профессионалами в области информационных технологий.
Как сообщает Лаборатория Касперского, проблемы с PHP приобретают особую остроту в тот момент, когда исследователи сферы информационной безопасности стали обращать особое внимание на бреши в веб-приложениях. В начале этого года один из экспертов обратил внимание на тенденцию роста брешей в веб-приложениях в целом и приложениях, реализованных на PHP в частности. По данным, собранным в течение первых 9 месяцев текущего года, веб-приложения заняли три верхних позиции в списке самых распространенных уязвимостей. Например, в сентябре 45 процентов инцидентов в области информационной безопасности были связаны со случаями кросс-сайт скриптинга, внедрением багов в базы данных или уязвимостей, связанных с изменением PHP файлов. В настоящее время PHP используется приблизительно в 20 миллионах доменов и 1,3 миллиона IP-адресов.
Популярный язык программирования стал объектом особого внимания на прошлой неделе, после того, как группу разработчиков языка покинул Стефан Эссер (Stefan Esser), занимавшийся обеспечением безопасности PHP. В качестве причины своего ухода Эссер назвал нерасторопность других разработчиков в плане ликвидации угроз безопасности. В свою очередь, члены PHP Group заявили, что Эссер покинул их из-за того, что потерял интерес к разработке в составе их команды.
Согласно данным NIST, по состоянию на 15 декабря из 6198 уязвимостей, зафиксированных в 2006 году, 2690 (или 43 процента) содержали в описании слово "PHP".
http://www.cybersecurity.ru/software/18392.html | |
| |
|
|
| |
|
|
| |
для: localGhost
(06.08.2007 в 15:05)
| | | имхо из 43% ~40 приходится не на веб-приложения, написанные на языке PHP, а на кривые руки, которые эти скрипты писали, и нефиг во всем платформу обвинять! | |
| |
|
|
| |
|
|
| |
для: parczynski
(07.08.2007 в 02:11)
| | | Я не видел что написал parczynski, но зашёл сюды чтоб написать то же самое.
Эта новость как мне кажется наоборот говорит о "Крутости" языка +1 | |
| |
|
|
| |
|
|
| |
для: himic
(07.08.2007 в 20:49)
| | | Ну да,а в 80-е годы 80 % аварий приходилось на автомобили 'Жигули'...Но не потому,что они хреновые,а потому,что 50 % автомобилей имели марку 'Жигули'......Цитата:
С учетом того, что число брешей в самом языке минимально, цифры NIST показывают, что проблема кроется в разработчиках, многие из которых не являются профессионалами в области информационных технологий. | |
| |
|
|
| |
|
|
| |
для: Ralph
(07.08.2007 в 21:20)
| | | А интерестно, много ли людей могут назвать себя "профи" | |
| |
|
|
| |
|
|
| |
для: himic
(08.08.2007 в 15:48)
| | | я могу | |
| |
|
|
| |
|
|
| |
для: himic
(08.08.2007 в 15:48)
| | | >А интерестно, много ли людей могут назвать себя "профи"
определение по-моем через-чур не однозначное......... | |
| |
|
|
| |
|
|
| |
для: localGhost
(08.08.2007 в 18:08)
| | | Я профи, но только касается это пхп программирования... в Си я ламер. | |
| |
|
|
| |
|
|
| |
для: Жорик
(08.08.2007 в 18:33)
| | | А где грань?.. | |
| |
|
|
| |
|
|
| |
для: Shorr Kan
(08.08.2007 в 19:48)
| | | Боюсь, что в ДНК | |
| |
|
|
| |
|
|
| |
для: Shorr Kan
(08.08.2007 в 19:48)
| | | Грань в указателях | |
| |
|
|
| |
|
|
| |
для: himic
(08.08.2007 в 15:48)
| | | >А интерестно, много ли людей могут назвать себя "профи"
Здесь соглашусь с localGhost - для того, чтобы утверждать, что разработчик знаком с Web-средой на 100% необходимо знание:
- HTML
- CSS
- Основы дизайна (включая инструменты для векторной и растровой графики)
- JavaScript
- XML
- PHP
- Apache
- Интернет-протоколы (хотя бы HTTP, IP и DNS)
- Flash
- Основы работы с почтой
- Сокеты и CURL
- Регулярные выражения
- MySQL (и язык SQL желательно на уровне стандартов и отличий баз данных друг от друга)
- основы операционной системы UNIX
- и всякую мелочь вроде шаблонов, распространённых готовых Web-приложений, AJAX-библиотек, раскрутки, да и банально где, что взять можно.
И это только в рамках Apache+PHP+MySQL... а помимо Apache существуют другие Web-сервера, помимо PHP имеются ASP.NET, Java и CouldFusion (слава богу получившие распространение на Западе, а не у нас), а помимо MySQL существует ещё десяток баз данных и отнюдь не прозябающих в безвестности. Я уж не говорю об модулях Apache (вроде mod_rewrite) и расширениях PHP (вроде GDLib), каждое из которых отдельной строчки стоят.
А учитывая, что у PHP ноги растут из C и Perl и некоторые вещи так паршиво описаны, что без знания этих двух языков не разберёшься, ситуация выглядит плачевно.
Ну, кто готов держать экзамен на звание профи :)? Я вот лично не рискнул бы, если бы в каждой из областей меня эксперт экзаменовал бы. Не работают в Web в одиночку, вернее работают конечно, но сущие единицы. Обычно в команду сбиваются несколько разработчиков, специализирующихся в разных областях - иначе очень дорого получается - вероятность освоить половину из списка выше, чем всё. | |
| |
|
|
| |
|
|
| |
для: localGhost
(06.08.2007 в 15:05)
| | | Распространён очень - отсюда и количество брешей... однако признать стоит, PHP на коленке сделан - обо многих вещах разработчикам можно было бы заранее подумать, а не исправлять их в течении трёх версий потом и кровью (причём потом и кровью миллионов пользователей). Быстрый и грязный язык... да, медленный, да некоторые вещи через заднее место реализованы, да сборная солянка, в которую натасканы фрагменты Perl, С и Java. Однако это единственный язык, при помощи которого можно быстрее всех создавать Web-приложения, а значит обогнать конкурентов, а значит захватить первым нишу. Более того, обучить PHP много проще, чем любой другой технологии и языку программирования - значит в короткое время можно создать лигион дешёвой программистской силы, это дешевле, чем платить малочисленной, медленно-работающей и дорогостоящей группе программистов на альтернативных платформах. Следовательно спрос (заказчики) уходит сюда, за спросом идёт и предложение (разработчики обучаются этой платформе). Можно хоть головой убится об стену - ничего не изменится - это вообще ни от кого не зависит и никто не может на это повлиять.
PHP популярен не из-за гениальных разработчиков языка, не из-за того что по ниму пишут книги, не из-за того, что Web-разработчики выбирают его в качестве рабочей платформы, а из-за того, что этого требует рынок. Именно поэтому разработчики PHP "не теряют интерес" и пусть хоть все уйдут - проект не умрёт и будет подхвачен ещё более сильной командой. Именно благодаря требованию рынка пишутся книги, а Web-разработчики выбирают PHP в качестве платформы. | |
| |
|
|
