Php-приложения - главная проблема безопасности

На веб-приложения, написанные на языке PHP, приходится 43 процента всех проблем, связанных с безопасностью информационных сетей. Таковы результаты исследования, проведенного в текущем году американским Национальным институтом стандартов и технологии (NIST). В 2005 году на долю приложений на платформе PHP приходилось всего 29 процентов уязвимостей. С учетом того, что число брешей в самом языке минимально, цифры NIST показывают, что проблема кроется в разработчиках, многие из которых не являются профессионалами в области информационных технологий.

Проблемы с PHP приобретают особую остроту в тот момент, когда исследователи сферы информационной безопасности стали обращать особое внимание на бреши в веб-приложениях. В начале этого года один из экспертов обратил внимание на тенденцию роста брешей в веб-приложениях в целом и приложениях, реализованных на PHP в частности. По данным, собранным в течение первых 9 месяцев текущего года, веб-приложения заняли три верхних позиции в списке самых распространенных уязвимостей. Например, в сентябре 45 процентов инцидентов в области информационной безопасности были связаны со случаями кросс-сайт скриптинга, внедрением багов в базы данных или уязвимостей, связанных с изменением PHP файлов. В настоящее время PHP используется приблизительно в 20 миллионах доменов и 1,3 миллиона IP-адресов.

Популярный язык программирования стал объектом особого внимания на прошлой неделе, после того, как группу разработчиков языка покинул Стефан Эссер (Stefan Esser), занимавшийся обеспечением безопасности PHP. В качестве причины своего ухода Эссер назвал нерасторопность других разработчиков в плане ликвидации угроз безопасности. В свою очередь, члены PHP Group заявили, что Эссер покинул их из-за того, что потерял интерес к разработке в составе их команды.

Согласно данным NIST, по состоянию на 15 декабря из 6198 уязвимостей, зафиксированных в 2006 году, 2690 (или 43 процента) содержали в описании слово «PHP». «Я думаю, обычным людям тяжело создавать безопасные динамические веб-приложения. Языки для создания сайтов должны быть адаптированы под "чайников" максимально возможно. Во многих случаях я, будучи профессионалом в области безопасности, ломал голову над тем, как укрепить безопасность кода. Я хотел укрепить ее, но для меня не было очевидным, как это сделать», — заявил представитель NIST Питер Мелл (Peter Mell).

 

бред.
в перле возможны те же скл-инъекции и свои баги там есть.
в асп те же скл-инъекции.
что они придрались к пхп - не понятно

 

Как мне кажется просто из за того что PHP имеет большее распространение чем другие языки...поэтому и придрались...
а на asp блин редко мне сайтеги попадались чтоб инъекция была...

 

есле руки кривые то всё на разработчиков языка валят!

 

Они придрались не к пхп, а к криворуким кодерам...

 

А я видел не раз.

+1. Вспомним, сколько наездов было на Perl, когда была распространена бага с отсутствием фильтрации аргументов open() и возмжностью открытия пайпа.
Если руки кривые - ничего не поможет.

А мне показалось, что к PHP, перечитай:
«Я думаю, обычным людям тяжело создавать безопасные динамические веб-приложения. Языки для создания сайтов должны быть адаптированы под "чайников" максимально возможно. Во многих случаях я, будучи профессионалом в области безопасности, ломал голову над тем, как укрепить безопасность кода. Я хотел укрепить ее, но для меня не было очевидным, как это сделать», — заявил представитель NIST Питер Мелл (Peter Mell).
Явные наезды в сторону PHP

 

да б**** всякие м***** б**** программисты б**** недоделанные б**** лезут с*** б** ни х** не знают б**** потом б** ноют б**** и абузят с***

 

вот и я о чем
+1

 

PHP самый самый. И всё это знают. а то, что кто-то вставляет в страницу форму и пишет "Сдесь можно залить шелл и выполнить ваши команды", это их проблемы.

 

43 процента да и понятно почему потомучто 43 процента юзверей предпочитают халяву в виде бесплатных движков и тп и тд а со стороны разрабочиков естественно нет стремления делать код близкий к идеалу да ктомуже за бесплатно