Hvernig útskýrir maður öryggi á viðskiptamáli / Ask Vaktin

einzi · Pósturaf **einzi** » Þri 25. Mar 2008 12:44

Sælir

Langar að taka svona smá Ask Slashdot hér á vaktinni.

Mér var falið að kynna PHP sem viðbót við kerfi á AS/400 eftir ákvörðun Zend og IBM að fara í samstarf. Nú þegar ég er búinn að kynna helstu tæknimálin þá er komið að því að reyna að selja þetta og ein af spurningunum sem ég fæ mjög mikið er "er PHP eitthvað öruggara en annað sem stendur til boða". Ég sem tæknilega sinnaður maður geri mér grein fyrir því í hverju öryggi felst en stend á gati þegar ég á að útskýra þetta fyrir meðal jóa í jakkafötum, og "af því bara" kemur oft upp í huga mér.

Hvernig á maður að verja vöru sem er tæknilega séð ekki til ennþá og geta sagt með góðri samvisku svarað "hún er örugg af því að ... "

Hvernig mynduð þið svara svona spurningum?

Er PHP eitthvað öruggara en annað þegar meirihluti öryggisgalla liggja í hönnun viðkomandi kerfis óháð þróunarumhverfi?

Dagur · Pósturaf **Dagur** » Þri 25. Mar 2008 14:01

Er PHP eitthvað öruggara en annað þegar meirihluti öryggisgalla liggja í hönnun viðkomandi kerfis óháð þróunarumhverfi?

Þótt að það sé tækinlega rétt þá geta þróunarumhverfi samt gert ýmsa hluti til að hvetja/neyða forritara til að skrifa öruggari kóða. PHP gerir ekki mikið til þess (meira en áður samt).
PHP hefur ansi langa sögu öryggisvandamála en því til málsbóta þá er það langvinsælasta vefforritunarumhverfið (og þess vegna vinsælt skotmark).

Sjálfur gef ég PHP ekki mjög háa einkunn, en það er samt betra en margt annað.

einzi · Pósturaf **einzi** » Þri 25. Mar 2008 14:47

Dagur skrifaði:
Er PHP eitthvað öruggara en annað þegar meirihluti öryggisgalla liggja í hönnun viðkomandi kerfis óháð þróunarumhverfi?

Þótt að það sé tækinlega rétt þá geta þróunarumhverfi samt gert ýmsa hluti til að hvetja/neyða forritara til að skrifa öruggari kóða. PHP gerir ekki mikið til þess (meira en áður samt).
PHP hefur ansi langa sögu öryggisvandamála en því til málsbóta þá er það langvinsælasta vefforritunarumhverfið (og þess vegna vinsælt skotmark).

Sjálfur gef ég PHP ekki mjög háa einkunn, en það er samt betra en margt annað.

Eitt að því sem mér finnst einmitt stórt atriði er að það má skipta örygginu í minnstakosti 2 hluti, annarsvegar öryggi í málinu sjálfu og svo öryggið sem er framfylgt með kóðanum sjálfum.
Öryggi í kóða er náttúrulega aldrei betra en þekking forritarana sem skrifa kóðan og á það við um öll mál. Getur skrifað kerfi í hvaða máli sem er og það getur verið algjör öryggishryllingur þó svo að málið sjálft sé "skothelt".
Svo er það hitt. Ef að mál er mjög vinsælt, eins og PHP er, þá mætti halda að kröfur um öryggi og fljótar lagfæringar á göllum sem koma upp haldist í hendur við vinsældir málsins og verði þannig mun meira áberandi fyrir vikið. "Ef að tré fellur í skóginum og enginn er þar til að hlusta, heyrist þá hljóð" dettur mér í hug þegar talað er um svona mál. Er eitthvað sem segir að eitt mál sé öruggara ef það ekkert talað um öryggisgalla sem það inniheldur? Er það þá tilvísun í að viðkomandi mál hafi ekki verið almennilega sett undir smásjánna eða hafi minni notendahóp? Maður veltir þessu fyrir sér.

Svo er ég mjög forvitinn að vita hvað það er sem fær lága einkun frá þér í PHP. Ég hef notað PHP í nokkurn tíma og alltaf verið mjög sáttur, kannski því ég hef aldrei notað PHP til fullnustu og kannski í allt öðruvísi verkefni en eru í huga hér.
Ég hef alltaf staðið fastur á því að mismunandi verkfæri henta í ákveðin verk. Og eins og er þá sýnist mér PHP vera rétta verkfærið á AS/400 þar sem i5/OS API bíður upp á svo mikið. ASP.net hef ég séð notað en vegna þess að það getur ekki talað beint við AS/400 eða keyrir á PASE þá þarf að setja millilag sem vissulega hefur sín vandkvæði.

tms · Pósturaf **tms** » Þri 25. Mar 2008 19:50

Það er ekki neitt forritunarmál sem ég þekki til þar sem sjálfsagðasta leiðin til að búa til SQL Query streng er að splæsa saman gögn frá vafra inn í þegar forritaðan streng. Ég þori ekki að fullyrða en ég þekk amk ekki til forritunarmál sem myndu einhvermegin escapa var í "SELECT a,b,c WHERE id='"+var+"';" þannig að það væri ómögulegt að gera SQL innspytingu.

PHP hefur það yfir t.d. C og C++ að það er interpreted og þú kemst því fram hjá mörgum holum eins og buffer overflows. En öll hin vinsælu forritunarmálin sem eru notuð í vefforritun, perl, python, ruby og java hafa sömu kosti.

Mitt ráð er bara að svara spurningunni neitandi, forritunarmálið sjálft er ekkert öruggara en annað sem er í boði. Þú gætir frekar selt það á að það er vinsælt og því auðvelt að fá forritara sem kunna á það, og annað useless marketing bullshit væri hægt að finna.

Btw þú spyrð af hverju sumir krítisera PHP: hér er t.d. ein grein.

Dagur · Pósturaf **Dagur** » Mið 26. Mar 2008 01:17

einzi skrifaði:Svo er ég mjög forvitinn að vita hvað það er sem fær lága einkun frá þér í PHP. Ég hef notað PHP í nokkurn tíma og alltaf verið mjög sáttur, kannski því ég hef aldrei notað PHP til fullnustu og kannski í allt öðruvísi verkefni en eru í huga hér.
Ég hef alltaf staðið fastur á því að mismunandi verkfæri henta í ákveðin verk. Og eins og er þá sýnist mér PHP vera rétta verkfærið á AS/400 þar sem i5/OS API bíður upp á svo mikið. ASP.net hef ég séð notað en vegna þess að það getur ekki talað beint við AS/400 eða keyrir á PASE þá þarf að setja millilag sem vissulega hefur sín vandkvæði.

Ég er kannski ekki mjög sanngjarn. Ég byrjaði í perl forritun og fór síðan í python þannig að ég heyri lítið talað um php nema í neikvæðu samhengi.

Ég dæmi öryggishliðina á PHP bara útfrá fortíðinni, en það er örugglega allt annað uppi á teningnum í dag.
Ég er alveg sammála því að velja besta verkfærið i verkefnið. Ef það er venjan að nota PHP í þessum kerfum þá væri ekki vit í að nota annað að mínu mati.