Lo scorso marzo è stato the Month of PHP Bugs, letteralmente il Mese dei Bachi in PHP, un’iniziativa nata dall’idea di tre ricercatori tedeschi di migliorare la sicurezza di PHP e delle applicazioni scritte nel famoso linguaggio per il web, partendo dal basso e migliorando lo Zend Engine (il motore su cui PHP funziona), il PHP Core e le estensioni già incluse nel linguaggio.
Come sperato l’iniziativa ha dato i suoi frutti: numerose vulnerabilità sono state scoperte e sistemate sia per la versione 4 che per la 5, ma resta da capire se questi risultati debbano essere considerati un successo o un insuccesso. Infatti, se da un lato sono stati sistemate delle vulnerabilità (la maggior parte del tipo Code Injection), d’altra parte queste vulnerabilità dimostrano delle gravi carenze da parte di PHP.
Questa dualità di vedute è ancora più accentuata se si considera che a scoprire tutti i problemi più gravi è stato Stefan Esser che abbandonò il PHP Security Team a causa del clima interno a PHP, dove il suo lavoro veniva visto più come un danno d’immagine che come un contributo alla sicurezza al linguaggio.
Polemiche a parte, agli amministratori dei server web che usano PHP non resta che installare le versioni 4.4.7 o 5.2.2 aggiornate e scaricabili dal sito ufficiale di PHP, queste versioni risolvono numerose vulnerabilità e ben dieci sono quelle scoperte dal solo Esser.
Come si evince dalla parole amare di Stafn Esser, finchè non si risolve la contraddizione tra la natura free ed opensource di PHP, e il fatto che i due padri del linguaggio sono a capo di ZEND company, i difetti intrinseci del linguaggio, non saranno mai risolti
di Giancarlo Moschitta - 7 maggio 2007 - 11:33