Login
Newsletter
Werbung

Thema: PHP 5.5 soll Passwort-Sicherheit verbessern

3 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von zettberlin am Sa, 15. September 2012 um 17:43 #

> dass gilt: LOOP ⊆ WHILE = GOTO

Danke für den Hinweis, while war sicherlich kein gutes Beispiel. Worauf ich hinaus wollte: man kann das, was man mit while quasi-automatisch bekommt auch mit for machen so in der Art:

for($i=0;$i< $foo;++$i)

statt:

while($i< $length)

Zitat:
Die Folge kann man fast täglich auf Heise beobachten, wenn es mal wieder heißt: Datenraub bei xy.

Dass PHP-Seiten häufig gecrackt werden, hat sehr viele Gründe. Zunächst mal den, dass es so viele davon gibt.

Ich behaupte, wenn es PHP gar nicht geben würde und stattdessen Webseiten mit besser designeten Sprachen gemacht werden würden, würde es trotzdem viele erfolgreiche Einbrüche geben. Weil die meisten erfolgreichen Einbrüche wegen absolut hanebüchener Fehler beim *Umgang mit der Technik* gelingen.

6-Zeichen-Passwörter, die in gängigen Wörterbüchern stehen und die Jahrelang unverändert bleiben.
Hunderte FTP oder auch SSH Zugänge für Kunden, die keinen blassenSchimmer haben.
Krude, aufgeblähte all-in-one Webfrontends zur Serververwaltung.
Schlecht bezahltes, überlastetes Personal.

Und was der Preiskampf sonst noch für Colatteralschäden verursacht.

Man kann mit PHP sehr sichere Webanwendungen programmieren, das dauert dann aber zuweilen auch etwas länger und erfordert ein vernünftig ausgedachtes Konzept, für das der Kunde wenigstens sagen können muss, was er denn nun genau haben will.

Wenn nun ein Wrapper es ermöglicht, schneller zu einem akzeptablen Ergebnis zu kommen, dann wird das wahrscheinlich die Situation verbessern helfen. Noch besser wäre ein allgemeines Umdenken besonders bei der Kundschaft und überhaupt im ganzen System: wie wahrscheinlich ist es denn, dass das demnächst stattfindet?

Dieser Beitrag wurde 2 mal editiert. Zuletzt am 15. Sep 2012 um 17:46.
[
| Versenden | Drucken ]
  • 0
    Von Bolitho am So, 16. September 2012 um 00:46 #

    Ich benutze sehr selten ``while``-Schleifen; in Python fast nie. Wozu auch? Sofern man die Anzahl an Elementen kennt, ist eine ``for``-Schleife immer vorzuziehen - und kennt man sie nicht, so bedeutet das auch nicht zwangsweise eine ``while``-Schleife zu benutzen.

    Dass es so viele unsicherer PHP-Seiten gibt, liegt schlicht und ergreifen daran, dass es im PHP-Umfeld Usus ist, alles selber zu bauen! Logisch, man kann ja in der Sprache eher schwer mit CLI anfangen und zwingt Einsteiger somit unmittelbar zur Webprogrammierung. Damit können sie aber gängige Frameworks zu Beginn noch nicht benutzen, da ihnen die Grundlagen der Sprache fehlen... somit fängt jedes Tut mit POST-Parameter-Parsing, selbst gebauten Formularen und einer selbstgebauten Anbindung an MySQL an... damit sind sämtlichen gängigen Attacken Tür und Tor geöffnet und der Programmierer wird zu einem NIH-Jünger "erzogen".

    Eine universell einsetzbare Sprache ermöglicht es einem Anfänger, *erst* die Grundlagen zu lernen und *dann* mit Hilfe eines Webframeworks eine von Beginn an sicherere Applikation zu bauen.

    [
    | Versenden | Drucken ]
    • 0
      Von anonym am So, 16. September 2012 um 01:24 #

      Naja ... Programmierer müssen erzogen werden. Eine Sprache die sich auch an Anfänger richtet sollte dies automatisch machen. Denkbar wäre z.B. das man keine zusammengebauten Strings an die SQL Funktionen übergeben kann sondern dazu gezwungen wird prepared statements (oder einen Sprach-eigenen SQL-Builder) zu nutzen. Vieles hat sich PHP durch fehlenden initialisierungszwang von Variablen, einstellbaren Error-Leveln, register_globals (schauder) etc.. eingebrockt. Auf der anderen Seite, die Sprache ist der Qualität ihres eigenen Sprachkerns entwachsen - sie war wohl eher als eine art shell-script fürs web gedacht.

      [
      | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung