« フォークスソウル | Main | Erlangの世界ではmemcachedとか要らない »

Sunday, July 01, 2007

PHPのセキュリティ

[security] 1) 例えば、Webサイトに書かれている事を鵜呑みにしないより

より良いWebアプリケーション設計のヒント 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。

takesakoさんから聞いたネタなんだけど、アフォか(一刀両断
Javaや.Netや他のLLを使ったところで実装者の知識が足りなければ簡単にセキュリティホールは発生します。
逆に、「PHPだから短時間で素早くサイトを作れる」わけじゃありません。
素早くサイトを立ち上げること「のみ」に着目して作るからセキュリティホール作ってるんじゃないかと。

このサイトを見ている人がこういった妄言に振り回されないことを切実に願います。

元記事にはいろいろつっこみどころはあると思うけど,PHPのセキュリティが弱いのは事実じゃないのかな.

知識のある人がちゃんとコードを書いた場合でも,PHP言語自体に脆弱性が見つかる事が多いので,PHPの方がセキュリティ上のリスクは大きいと言えるのではないかと.
この記事では,セキュリティの知識を得た上で作っても,(過去の脆弱性の発生状況から見て)PHPを使うとリスクが高い,と言っているだけだと思う.

素早くサイトを立ち上げる場合は,JavaよりはPHPの方が適しているのは事実だと思うし,素早く立ち上げようとしている人はセキュリティに関する知識がないと仮定するのもいささか乱暴かと...

なぜPHP本体にバグが多いのか?


PHP開発者の意識
すべてのメモリ関連問題,すべてのクラッシュは,セキュリティ上の問題となる可能性があり修正されるべき問題として対処しなければならない,と筆者は考えています。自分が攻撃コードを考案できなくても,ほかの人は攻撃コードを考案できるかも知れません。一つ一つは軽微な問題でも組み合わせて利用して重大なセキュリティ問題が発生したりします。互換性・拡張性を犠牲にしてでもセキュリティ上の問題を適切に解決しなければなりません。しかし,残念ながらPHPの開発者には同じ考えを持たない開発者もいます。昨年PHPソースコード監査の第一人者であるStefan Esser氏がPHPセキュリティレスポンスチームを去ったのは,PHP開発者のセキュリティ意識に失望したためです。

なんて書かれている事からも,セキュリティに対する配慮が微妙なのではないかと思えるし.
(この辺は最近改善しているのかもしれないけども)

|

« フォークスソウル | Main | Erlangの世界ではmemcachedとか要らない »

Comments

PHPの脆弱性が問題になるのは、レンタルサーバを使用している場合です。
レンタルサーバのPHPが、脆弱性のあるバージョンのままということもあるのではないでしょうか。
レンタルサーバ事業者も大変そうです。

Posted by: ymikasa | Friday, September 28, 2007 08:09 PM

The comments to this entry are closed.

TrackBack


Listed below are links to weblogs that reference PHPのセキュリティ:

» [security] PHPのセキュリティ続き [Angelic Wing]
みかたんの日記より。 なんだか言いたかった事が全く伝わって無かったので補足。 別にPHPが安全なんて思ってないですよー。stefanの報告してたものに 「うーん、これ実際に踏む人いるの?(というか、踏めるの?」というものが多かった、というのはまあ横に置いておくとして。 (勿論、踏む可能性がないバグ/セキュリティホールがある可能性を放置していいとはいってない まあ、Suhosinは入れとけ、とは思う。)前回の記事で言いたかったのは、ちゃんと自分で考えてほしい、という一点。 例の記事を... [Read More]

Tracked on Sunday, July 01, 2007 12:43 PM

« フォークスソウル | Main | Erlangの世界ではmemcachedとか要らない »