The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимостей в PHP-приложениях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимостей в PHP-приложениях"  +/
Сообщение от opennews (??), 22-Июн-20, 11:47 
После года разработки опубликован выпуск проекта Snuffleupagus 0.5.1, предоставляющего  модуль к интерпретатору PHP7 для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Накладные расходы от работы модуля оцениваются как минимальные. Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini) и распространяется под лицензией LGPL 3.0...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53211

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –3 +/
Сообщение от Аноним (1), 22-Июн-20, 11:47 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +1 +/
Сообщение от A.Stahl (ok), 22-Июн-20, 11:50 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +/
Сообщение от Аноним (4), 22-Июн-20, 12:00 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +5 +/
Сообщение от A.Stahl (ok), 22-Июн-20, 12:03 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +1 +/
Сообщение от Аноним (8), 22-Июн-20, 12:29 
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  –1 +/
Сообщение от kravich (ok), 22-Июн-20, 11:49 
>Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini)

А как же "сишные дырени" (c)?

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +4 +/
Сообщение от Аноним (7), 22-Июн-20, 12:24 
> sp.disable_function.function("system").param("command").value_r("[$|;&`\\n]").drop();

Какой же упоротый синтаксис…

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  –9 +/
Сообщение от Аноним (9), 22-Июн-20, 12:49 
Как альтернативу, для блокирования уязвимостей в PHP-приложениях можно использовать программу /usr/bin/kill. Потому что PHP - это прежде всего сложившаяся культура программирования (вернее, ее полное отсутствие).
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (10), 22-Июн-20, 13:58 
Уверен, у комментатора нет опыта разработки на PHP, но начитался статей с хабра 2012 года и теперь везде об этом пишет.
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +3 +/
Сообщение от Онаним (?), 22-Июн-20, 14:08 
"2012 года" тут лишнее
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +3 +/
Сообщение от Аноним (9), 22-Июн-20, 14:23 
Уверенность в том, чего не знаешь -- характерная черта защитников PHP.

У меня есть опыт разработки на PHP в годах эдак 2010-2013. Вспоминаю как страшный сон все эти call_user_func_array(), любовь отечественных CMS к тухлому Zend Optimizer, неспособность обращаться к элементам возвращенного функцией массива по индексу и прочие приколюхи типа "headers already sent" из-за UTF-8 BOM. Может быть сейчас все это и неактуально, но осадочек остался навсегда.

Даже во втором пихоне все выглядело куда более-менее органично и последовательно.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

16. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (16), 22-Июн-20, 14:58 
Для современного кода неактуально (ну кроме BOM, а не надо так делать, это много где все сломает, тот же shebang).
Для легаси - понятно :)
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  –3 +/
Сообщение от Аноним (10), 22-Июн-20, 15:43 
Ну вот видишь, мои предположения подтвердились. Аргументы с 2012 года не обновились, как и знания о объекте осуждения, в отличие от языка. Типичный пример поливания грязью того, в чём не разбираешься
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

30. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Здрасьте (?), 24-Июн-20, 21:04 
Язык с этих времён сильно изменился. Парсер, например, вообще переписали на AST. У вас какие-то воспоминания старого деда.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

33. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от анон (?), 25-Июн-20, 12:54 
Добавили стическую типизацию?(спойлер: нет, и никода не будет. Пытаются конечно, но до нормальных языков как до китая) Мне вот интересно, phpшники вообще никаких других языков не пробывали? Каждый год говорят что язык стал лучше - но по факту он лучше только предыдущих версий php. И не лучше любого другого языка. Смысл вообще развивать язык который изначально писался вообще без какой-либо концепции, копируя другие языки и в итоге получилось уродское нечто? только потому что его нежно любят недоучки с синдромом утенка, которые всю жизнь на нем пишут?
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от анон (?), 25-Июн-20, 13:01 
Осторожно анон, это же русскоязычное it комьюнити. Здесь php любят как собственного ребенка. Уродливый, хромой, но такой родной. Никакие аргументы на этих людей не действуют, ведь они никогда не видели нормальных языков. Все что они видели - это еще более убогие версии php прошлых годов.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

11. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 22-Июн-20, 14:07 
> Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде

Архинужная вещь в мире победившего инфантилизма - чтобы можно было безнаказанно лажать и косячить, а кто-то автоматом подтирал бы за тобой лужи.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +2 +/
Сообщение от онанимуз (?), 22-Июн-20, 14:33 
в основном безнаказанно лажают и косячат клиенты хостинга, ставящие пароли типа "admin" и "$названиесайта" в своих сраных вротпрессах, и потом кому-то приходится подтирать лужи за ними, и вытаскивать IP серверов из всевозможных блэклистов.
к сожалению, исправляющих тупость пользователей модули PHP ещё не изобрели.
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (22), 22-Июн-20, 17:20 
Интернет сделал людей неравными, но Бобби Тейблз их уравнял.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (15), 22-Июн-20, 14:33 
Вот же она, вот - долгожданная кнопка "Сделать зашибись"!
Так победим.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от бублички (?), 22-Июн-20, 15:08 
очередной костыль, когда вдруг Suhosin (даже встроенного) оказалось недостаточно
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от OpenEcho (?), 24-Июн-20, 16:12 
А вы уверены что Suhosin еще существует?
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от бублички (?), 24-Июн-20, 16:43 
разве suhosin7 забросили? признаюсь, не в курсе
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +1 +/
Сообщение от OpenEcho (?), 25-Июн-20, 04:29 
> разве suhosin7 забросили? признаюсь, не в курсе

Да и давно...
Народ пытается реинкарнировать но... для 7.(3|4) так до сих пор ничего и нет, хотя и в 7.(0|1|2) пробуксовка... он и в 5.6 уже практически был заброшен, оригинальный автор на сколько я знаю ударился в джейл брейки для айфонов... А жаль, хорошая была глушилка для exec, eval...

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от бублички (?), 25-Июн-20, 06:01 
>> разве suhosin7 забросили? признаюсь, не в курсе
> Да и давно...
> Народ пытается реинкарнировать но... для 7.(3|4) так до сих пор ничего и
> нет, хотя и в 7.(0|1|2) пробуксовка... он и в 5.6 уже
> практически был заброшен, оригинальный автор на сколько я знаю ударился в
> джейл брейки для айфонов... А жаль, хорошая была глушилка для exec,
> eval...

спасибо за информацию, я был не в курсе и без всякой значимой причины крайне наивно предполагал что этот модуль на каком-то этапе интегрировали непосредственно в PHP. мне это казалось логичным шагом развития

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от OpenEcho (?), 25-Июн-20, 16:22 
> предполагал что этот модуль на каком-то этапе интегрировали
> непосредственно в PHP. мне это казалось логичным шагом развития

К сожалению - нет...
Я мечтаю, когда подобные глушилки языка будут не только для пыха но и для WebAPI. (Был один для firefox-a но стух...)

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  –1 +/
Сообщение от Аноним (19), 22-Июн-20, 15:55 
сначала делают уязвимую хрень, потом делают хрень, которая блокирует уязвимости в уязвимой хрени. герои, чо.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  –1 +/
Сообщение от Аноним (-), 22-Июн-20, 16:00 
А что, seccomp и контейнеры поюзать было не проще?
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (23), 22-Июн-20, 20:21 
Кстати это добро завезли в NGINX Unit
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +2 +/
Сообщение от Аноним (23), 22-Июн-20, 17:12 
Начинания Web application firewall одобряем.
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (24), 22-Июн-20, 20:35 
Снуффлеупагус. Ё-моё! :О
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +3 +/
Сообщение от cool29 (?), 22-Июн-20, 22:09 
ну сейчас на PHP в основном фрэймворки используют (laravel, symfony, yii2). Там обычно хорошая защита от дурака. Например используя ORM можно вообще не использовать SQL и соответственно SQL-injection отпадает как класс. Для вывода данных (если не GraphQL или REST) обычно используют шаблонизаторы, в которых детские болезни устранены. Есть отличный пакетный менеджер и PSR-стандарты.  Это уже совершенно другой язык, и совершенно другая инфраструктура языка. И кроме того PHP-7 очень быстрый, по сравнению с предыдущими версиями. Так что в общем разрабатывать на современном PHP весьма комфортно, если конечно это не легаси-код 2012 года.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Snuffleupagus 0.5.1, модуля для блокирования уязвимос..."  +/
Сообщение от Аноним (27), 23-Июн-20, 05:30 
Кроме фантазий PHP Junior'а, тут не показывает картину рынка.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру