Hej, On Tue, Oct 17, 2006 at 09:46:42PM +0200, Jacob Sparre Andersen wrote: > > >>PHP er ikke velegnet til sikkerhedskritiske programmer > >>som web-baserede tjenester. > > > >Er du rar at uddybe den her med passende fakta? > > Er det et passende faktum at langt de fleste indbrud på > unix-systemer skyldes defekt PHP-kode?
Jeg har ikke set nogen konkret statistik. Men det kan da bestemt ikke udelukkes. > Er det et passende faktum at PHP mangler den stærke > typekontrol der er et vigtigt element i at skrive > sikkerhedskritiske programmer? Ja og nej. Php er ganske rigtig typesvagt. Jeg som udgangspunkt er jeg ikke enig i at typecheckere i nævneværdig grad fanger sikkerhedsrelaterede fejl. For mig at se er det væsentligt vigtigere at sproget er udrustet med et runtime system der fanger de klassiske angrebsvektorer, såsom: off-by-one, buffer-overrun, etc. Hvis ellers vi antager at sprogets implementation (oversætter/fortolker) er af tilfredsstillende kvalitet, kan jeg ikke se at typestyrke gør forskellen. Hvis du kan fremvise overbevisende eksempler på det modsatte, vil jeg meget gerne se dem - og revidere min opfattelse. > Er det et passende faktum at der ikke findes værktøjer der > kan lave en statisk sikkerhedsanalyse af PHP-programmer? Der findes en del af sådan nogen dimser til C og C++. Er de gode sprog til sikkerhedskritiske programmer, herunder webbaserede tjenester? -- Søren O. "Oh, bother" said the Borg, "we've assimilated Pooh". -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
