Meio Bit » Baú » Segurança » Aplicativos PHP: A fruta mais baixa na árvore da segurança

Aplicativos PHP: A fruta mais baixa na árvore da segurança

12/01/2007 às 11:08

Kelly Martin da SecurityFocus, no o artigo "PHP Apps: security's low-hanging fruit", fala sobre como os aplicativos PHP dominam grande parte da internet atual e como estes mesmos aplicativos são responsáveis por 43% das falhas de segurança reportadas em 2006.

Kelly prossegue demonstrando que os erros que tornam estes aplicativos inseguros são normalmente programação ruim e erros comuns de programadores, mas que o PHP tem um certo pendor em transformar estes erros em grandes falhas de segurança.

Com algum conhecimento de PHP, acesso a um site como o bugtraq e o Google, os kiddies da atualidade são capazes de fazer scripts que automaticamente encontram e atacam sites vulneráveis transformando um site PHP em mais um Phishing Scam ou coisa pior.

Minha opinião pessoal: o problema está em 3 lugares. Nas centenas de pessoas despreparadas que resolvem escrever aplicativos na internet e escolhem o PHP por ser mais simples, e acabam fazendo aplicativos extremanente ruins. Depois, na linguagem que virou uma barafunda depois das versões iniciais e que até agora está tentando descobrir como lidar com problemas sérios de segurança e mesmo de sanidade (múltiplos aliases para a mesma função? alguém?). E finalmente pelos desenvolvedores da linguagem que parecem não estar muito interessados em segurança, o que ficou patente depois da saída do Stephan Esser.

A matéria é muito bem escrita e discute alguns pontos interessantes da insegurança do PHP, assim como o que a comunidade e alguns projetos estão fazendo para mudar esta figura. A íntegra, em inglês, pode ser conferida aqui.

relacionados


Comentários