PHP-Entwicklung – Neuerungen in PHP, Zend-Framework, PHP-Sicherheit

PHP Sicherheit

Angesprochen auf die Diskussion über die Sicherheit von PHP, die von Stefan Esser angesprochen wurde, meint Suraski, dass er mit vielen öffentlichen Äußerungen Esser’s nicht einverstanden sei. Dennoch habe diese Diskussion PHP gut getan, da es seit dieser Zeit deutlich sicherer geworden sei. Man reagiere inzwischen bezüglich Sicherheitspatches schneller und vorrausschauender. Ansonsten habe sich aber nicht viel geändert an der internen Kommunikation des für die Sicherheit zuständigen Entwickler-Teams. Er hebt hier die Vorteile für Abonnenten des Zend Core hervor, die durch Backports regelmäßig den aktuellen Stand erhalten und sich nicht mehr um die aktuelle PHP-Version kümmern müssen. Die Backports basieren zwar auf der aktuellen OpenSource-Version von PHP, werden jedoch nicht veröffentlicht. Jedoch werden die zugehörigen Patches wieder in die OpenSource-Version von PHP eingebracht. Die Zahlung für Zend Core möchte Suraski nicht als Zahlung für „geitiges Eigentum“ verstanden wissen, sondern als Zahlung für den zugehörigen Service.

Das letzte Update von PHP 5.2 (Version 5.2.4) bezeichnet Suraski nicht als kritisch, wenn man jedoch die aktuell sicherste Version von PHP haben wolle, müssen man seine Installation jeweils auf dem aktuellen Stand halten. Es sei aber nicht schlimm, wenn man dies nicht tut. (Ausgenommen davon sind Updates die als kritisch bezeichnet werden). Im Bezug auf die Informationen zu den Sicherheitspatches wolle man nicht so viele Informationen bekannt geben, dass eventuell Hacker diese ausnutzen könnten, wohl aber so viele, wie die Anwender brauchen um entscheiden zu können ob ein Update (auf Grund dessen, dass eigene Software betroffen ist) notwendig ist. Die veröffentlichten Informationen seien jeweils ein Kompromiss zwischen der kompletten Offenlegung der Probleme und der Veröffentlichung von gerade so vielen Informationen wie unbedingt notwendig. Zend tendiere dabei eher dazu, alles offenzulegen.

Kommentar verfassen