| 1.1, Аноним (-), 14:19, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> двенадцать уязвимостей и исправлена порция ошибок
Сколько читаю новости каждый раз по *нацать или больше УЯЗВИМОСТЕЙ и куча ОШИБОК. Пользоваться PHP - себя не уважать.
| | |
| |
| |
| 3.4, Аноним (-), 15:02, 07/08/2015 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Это не мнение, а результат полученный анализом фактов последних новостей связанных с выпуском PHP.
Пользоваться PHP могут только те кто может спокойно жить по принципу "жрать что приходится". Но я ведь не ущемляю ваше право выбора, как и не ущемляю право людей копаться в помойках.
| | |
| |
| 4.5, Аноним (-), 16:20, 07/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Результат является вскукареком безработного, выучившего с горем пополам сишку и завидующего успешным java и php разработчикам.
| | |
| |
| 5.8, Аноним (-), 16:50, 07/08/2015 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Результат является вскукареком безработного, выучившего с горем пополам сишку и завидующего успешным java и php разработчикам.
Конечно. Успокаивайте себя этим несколько раз на дню. Я разрешаю.
| | |
| |
| 6.29, Аноним (-), 08:37, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Сколько можно уже делать высеров насчет PHP? Да, обычный шаблонизатор. Да без поддержки потоков рашньше был. Сегодня вполне себе годный язык. Для быстрой разработки сайтов и быстрого деплоя. Есть и достоинства и недостатки. Что за притеснение по языковому признаку. А ответка тоже не ахти. За что Вы так на java или с++ они вам не конкуренты разные совершенно рынки. И да рынок фундаментальной разработки в России страдает, так как пользователи пока не готовы к заказам сложнее сайтов, но это не проблема программистов, а проблема рынка... От того страдают программисты
| | |
|
|
|
|
|
| |
| 2.10, Куяврег (?), 18:05, 07/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
во многих находят. но интенсивность очень разная. вспомним тот же флэш.
| | |
| |
| |
| 4.31, Куяврег (?), 09:49, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Если ПХП и Флэш - программы,
flash-плеер вполне себе программа
> то ХТМЛ - язык программирования.
рекомендую найти толкового психотерапевта и не пугать окружающих загибами своего воображения
| | |
|
|
|
| 1.13, ALex_hha (ok), 18:38, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > Если ПХП и Флэш - программы, то ХТМЛ - язык программирования.
php написан на с, чем вам не программа? Ах да, забыл, нет окошек! :D
> во многих находят. но интенсивность очень разная. вспомним тот же флэш.
покажите мне "сложную" программу, которая используется на миллионах хостов и без "почти" уязвимостей
| | |
| |
| 2.16, Аноним (-), 22:33, 07/08/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> покажите мне "сложную" программу, которая используется на миллионах хостов и без "почти" уязвимостей
Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.
PHP спасает только то что нормальный люд не пользуется им, это для всяких неосиляторов, недопрограммистов и школьников. Лично я не понимаю как можно пользоваться такой хренью в которой за нескоько месяцев закрыли полсотни уязвимостей и не меньше ошибок. Сразу возникают вопросы о качестве исполнения: сколько там их еще осталось и сколько новых уязвимостей сделали пока закрывали старые? Спасибо, но пользоваться этим я не буду никогда.
| | |
| |
| 3.20, анином (?), 00:50, 08/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
В таких случаях предлагайте альтернативу, чтобы быть конструктивным.
| | |
| 3.34, йцу (?), 10:25, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.
Откройте глаза. А потом откройте ченджлоги nginx, apache, openssh, vsftpd или любого другого крупного проекта и посмотрите на количество багфиксов.
> Спасибо, но пользоваться этим я не буду никогда.
Держите нас в курсе.
| | |
|
|
| 1.19, ALex_hha (ok), 23:43, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Если бы в nginx, apache, openssh, vsftpd и других нормальных программах закрывали бы через каждые несколько недель по *надцать УЯЗВИМОСТЕЙ и куче ОШИБОК, то нормальный люд давно бы взвыл и выкинул бы к чертям собячим такой мусор.
т.е. в nginx apache, openssh, vsftpd ошибок нет? Странно что на том же RHEL выходят постоянные обновления на них. Вот если бы там, среди этих 12, было RCE или повышения привилегий, то можно было с пеной у рта кричать что похапэ решето. А так ни о чем
| | |
| |
| 2.21, Аноним (-), 03:16, 08/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Вы действуете не честно: речь не о том что есть ошибки или нет ошибок, речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ. И где в этих проектах закрытые сотни проблем? Хуже PHP я пока ничего не знаю (flash даже не рассматриваю, т.к. это лишь решение под браузер который уже почти выбросили).
| | |
| |
| 3.30, йцу (?), 09:46, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ.
Количество - не единственный показатель. Вы сначала попробуйте эксплуатировать хотя бы одну из этих уязвимостей, на каком-нибудь реальном проекте, тогда и поговорим. Или может приведете пример, когда бы ошибка в самом PHP привела к массовому взлому сайтов? Реальность такова, что большинство этих багов находят в API, которым или пользуется 3,5 человека, или для воспроизведения бага требуется сочетание каких-нибудь нереальных условий.
> И где в этих проектах закрытые сотни проблем?
Да в любом крупном проекте. http://nginx.org/en/CHANGES - каждый месяц по нескольку багфиксов. И что? Ну давайте в других языках посмотрим: https://docs.python.org/3/whatsnew/changelog.html - что, большая разница? Короче говоря, умерьте свой капслок. И ещё: http://www.opennet.ru/opennews/art.shtml?num=15991
| | |
| |
| 4.32, Куяврег (?), 09:52, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> речь идет О СУММАРНОМ КОЛИЧЕСТВЕ УЯЗВИМОСТЕЙ И ОШИБОК за несолько месяцев и в PHP вопрос идет вопрос на СОТНИ.
> Количество - не единственный показатель.
Истинно так. Поэтому надо не тупо таращиться на количество багфиксов, а сравнивать количество CVE. И тут внезапно выясняется, что flash и ослик делают всех как стоячих.
| | |
|
|
| 2.23, Аноним (-), 05:10, 08/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> среди этих 12, было RCE или повышения привилегий, то можно было
> с пеной у рта кричать что пoхапэ рeшето. А так ни
> о чем
Ну вот в семeрoчке (а это всего-то какая-то маргинaльная ОСь) 125 RCE дырок http://www.cvedetails.com/product/17153/Microsoft-Windows-7.html?vendor_id=26
а в пыхe всего 110 http://www.cvedetails.com/product/128/PHP-PHP.html?vendor_id=74
Профит и секурность, да :)
Правда, даже в ядре пингвина, которое по слухам немножечко больше, настчитывают в два раза МЕНЬШЕ RCE дырок.
И да, я в курсе что источник не очень точный, однако при таких циферках плюс минус десяток дыр уже особой роли не играют :)
| | |
|
| 1.25, Аноним (-), 09:53, 08/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
PHP так спроектирован, он старается уметь все что нужно и не нужно. И вот такой кодовой базой сложно управлять
| | |
| |
| 2.26, Аноним (-), 13:36, 08/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Вы нас обманываете. Мы знаем историю PHP, поэтому знаем из чего он "вырос" и то что он никак не был спроектирован. А если принять во внимание что закрывают по десятки уязвимостей и столько же ошибок, то поднимается вопрос кто пишет такой низкосортный код.
| | |
|
| 1.35, йцу (?), 10:54, 10/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
По делу:
#70012 Exception lost with nested finally block
Хитрая хрень. Неправильный проброс исключения через вложенные finally. Даже с трудом представляю реальный кейс для такой конструкции.
#69793 Remotely triggerable stack exhaustion via recursive method calls
Вот нифига не "remotely". Десериализовать untrusted-данные - это стрельба себе по ногам, пора бы уже запомнить.
#69892 Different arrays compare indentical due to integer key truncation
LOL.
> Уязвимость также выявлена в коде работы с директориями. -
#70002 (TS issues with temporary dir handling)
Package: Apache2 related, OS: Windows 2008 R2 - pfff, ваще пофиг.
Пара незначительных исправлений в CLI. Целая пачка в GD - вот это неприятно, там и утечка памяти, и сегфолт, и переполнение стека.
Есть OpenSSL-related баги, но не понял, насколько они значительные.
Баг в SOAP снова связан с десериализацией. Кто-нибудь, расскажите - зачем сериализовать объекты SoapClient?
SPL - тоже самое, unserialize.
| | |
|
