The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимостей в PHP-приложениях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимостей в PHP-приложениях"  +/
Сообщение от opennews (??), 22-Июн-20, 11:47 
После года разработки опубликован выпуск проекта Snuffleupagus 0.5.1, предоставляющего  модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini) и распространяется под лицензией LGPL 3.0...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53211

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 22-Июн-20, 11:47   –3 +/
Да проще поотрубать похапешникам руки)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от kravich (ok), 22-Июн-20, 11:49   –1 +/
>Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini)

А как же "сишные дырени" (c)?

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от A.Stahl (ok), 22-Июн-20, 11:50   +1 +/
Питонистам -- головы.
Явистам -- яйца.
Сишникам -- ноги (всё равно идти им некуда)
Дельфистам -- ... там уже и так всё отгнило
И т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от Аноним (4), 22-Июн-20, 12:00   +/
У меня вопрос: что отрубать хаскелистам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от A.Stahl (ok), 22-Июн-20, 12:03   +5 +/
Монады
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

7. Сообщение от Аноним (7), 22-Июн-20, 12:24   +4 +/
> sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();

Какой же упоротый синтаксис…

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 22-Июн-20, 12:29   +1 +/
Гонады.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (9), 22-Июн-20, 12:49   –9 +/
Как альтернативу, для блокирования уязвимостей в PHP-приложениях можно использовать программу /usr/bin/kill. Потому что PHP - это прежде всего сложившаяся культура программирования (вернее, ее полное отсутствие).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #34

10. Сообщение от Аноним (10), 22-Июн-20, 13:58   +/
Уверен, у комментатора нет опыта разработки на PHP, но начитался статей с хабра 2012 года и теперь везде об этом пишет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12, #13

11. Сообщение от YetAnotherOnanym (ok), 22-Июн-20, 14:07   +1 +/
> Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде

Архинужная вещь в мире победившего инфантилизма - чтобы можно было безнаказанно лажать и косячить, а кто-то автоматом подтирал бы за тобой лужи.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

12. Сообщение от Онаним (?), 22-Июн-20, 14:08   +3 +/
"2012 года" тут лишнее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

13. Сообщение от Аноним (9), 22-Июн-20, 14:23   +3 +/
Уверенность в том, чего не знаешь -- характерная черта защитников PHP.

У меня есть опыт разработки на PHP в годах эдак 2010-2013. Вспоминаю как страшный сон все эти call_user_func_array(), любовь отечественных CMS к тухлому Zend Optimizer, неспособность обращаться к элементам возвращенного функцией массива по индексу и прочие приколюхи типа "headers already sent" из-за UTF-8 BOM. Может быть сейчас все это и неактуально, но осадочек остался навсегда.

Даже во втором пихоне все выглядело куда более-менее органично и последовательно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16, #18, #30

14. Сообщение от онанимуз (?), 22-Июн-20, 14:33   +2 +/
в основном безнаказанно лажают и косячат клиенты хостинга, ставящие пароли типа "admin" и "$названиесайта" в своих сраных вротпрессах, и потом кому-то приходится подтирать лужи за ними, и вытаскивать IP серверов из всевозможных блэклистов.
к сожалению, исправляющих тупость пользователей модули PHP ещё не изобрели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #22

15. Сообщение от Аноним (15), 22-Июн-20, 14:33   +/
Вот же она, вот - долгожданная кнопка "Сделать зашибись"!
Так победим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

16. Сообщение от Аноним (16), 22-Июн-20, 14:58   +/
Для современного кода неактуально (ну кроме BOM, а не надо так делать, это много где все сломает, тот же shebang).
Для легаси - понятно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от бублички (?), 22-Июн-20, 15:08   +/
очередной костыль, когда вдруг Suhosin (даже встроенного) оказалось недостаточно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #28

18. Сообщение от Аноним (10), 22-Июн-20, 15:43   –3 +/
Ну вот видишь, мои предположения подтвердились. Аргументы с 2012 года не обновились, как и знания о объекте осуждения, в отличие от языка. Типичный пример поливания грязью того, в чём не разбираешься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 22-Июн-20, 15:55   –1 +/
сначала делают уязвимую хрень, потом делают хрень, которая блокирует уязвимости в уязвимой хрени. герои, чо.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (-), 22-Июн-20, 16:00   –1 +/
А что, seccomp и контейнеры поюзать было не проще?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

21. Сообщение от Аноним (23), 22-Июн-20, 17:12   +2 +/
Начинания Web application firewall одобряем.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 22-Июн-20, 17:20   +/
Интернет сделал людей неравными, но Бобби Тейблз их уравнял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (23), 22-Июн-20, 20:21   +/
Кстати это добро завезли в NGINX Unit
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (24), 22-Июн-20, 20:35   +/
Снуффлеупагус. Ё-моё! :О
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от cool29 (?), 22-Июн-20, 22:09   +3 +/
ну сейчас на PHP в основном фрэймворки используют (laravel, symfony, yii2). Там обычно хорошая защита от дурака. Например используя ORM можно вообще не использовать SQL и соответственно SQL-injection отпадает как класс. Для вывода данных (если не GraphQL или REST) обычно используют шаблонизаторы, в которых детские болезни устранены. Есть отличный пакетный менеджер и PSR-стандарты.  Это уже совершенно другой язык, и совершенно другая инфраструктура языка. И кроме того PHP-7 очень быстрый, по сравнению с предыдущими версиями. Так что в общем разрабатывать на современном PHP весьма комфортно, если конечно это не легаси-код 2012 года.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

27. Сообщение от Аноним (27), 23-Июн-20, 05:30   +/
Кроме фантазий PHP Junior'а, тут не показывает картину рынка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от OpenEcho (?), 24-Июн-20, 16:12   +/
А вы уверены что Suhosin еще существует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

29. Сообщение от бублички (?), 24-Июн-20, 16:43   +/
разве suhosin7 забросили? признаюсь, не в курсе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

30. Сообщение от Здрасьте (?), 24-Июн-20, 21:04   +/
Язык с этих времён сильно изменился. Парсер, например, вообще переписали на AST. У вас какие-то воспоминания старого деда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #33

31. Сообщение от OpenEcho (?), 25-Июн-20, 04:29   +1 +/
> разве suhosin7 забросили? признаюсь, не в курсе

Да и давно...
Народ пытается реинкарнировать но... для 7.(3|4) так до сих пор ничего и нет, хотя и в 7.(0|1|2) пробуксовка... он и в 5.6 уже практически был заброшен, оригинальный автор на сколько я знаю ударился в джейл брейки для айфонов... А жаль, хорошая была глушилка для exec, eval...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #32

32. Сообщение от бублички (?), 25-Июн-20, 06:01   +/
>> разве suhosin7 забросили? признаюсь, не в курсе
> Да и давно...
> Народ пытается реинкарнировать но... для 7.(3|4) так до сих пор ничего и
> нет, хотя и в 7.(0|1|2) пробуксовка... он и в 5.6 уже
> практически был заброшен, оригинальный автор на сколько я знаю ударился в
> джейл брейки для айфонов... А жаль, хорошая была глушилка для exec,
> eval...

спасибо за информацию, я был не в курсе и без всякой значимой причины крайне наивно предполагал что этот модуль на каком-то этапе интегрировали непосредственно в PHP. мне это казалось логичным шагом развития

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35

33. Сообщение от анон (?), 25-Июн-20, 12:54   +/
Добавили стическую типизацию?(спойлер: нет, и никода не будет. Пытаются конечно, но до нормальных языков как до китая) Мне вот интересно, phpшники вообще никаких других языков не пробывали? Каждый год говорят что язык стал лучше - но по факту он лучше только предыдущих версий php. И не лучше любого другого языка. Смысл вообще развивать язык который изначально писался вообще без какой-либо концепции, копируя другие языки и в итоге получилось уродское нечто? только потому что его нежно любят недоучки с синдромом утенка, которые всю жизнь на нем пишут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от анон (?), 25-Июн-20, 13:01   +/
Осторожно анон, это же русскоязычное it комьюнити. Здесь php любят как собственного ребенка. Уродливый, хромой, но такой родной. Никакие аргументы на этих людей не действуют, ведь они никогда не видели нормальных языков. Все что они видели - это еще более убогие версии php прошлых годов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

35. Сообщение от OpenEcho (?), 25-Июн-20, 16:22   +/
> предполагал что этот модуль на каком-то этапе интегрировали
> непосредственно в PHP. мне это казалось логичным шагом развития

К сожалению - нет...
Я мечтаю, когда подобные глушилки языка будут не только для пыха но и для WebAPI. (Был один для firefox-a но стух...)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру