Mal wieder gibt es sicherheitslücken in PHP: http://www.heise.de/security/news/meldung/65598
Im Forum gab's den Thread PHP vs. ASP.NET 14:7
Nun würd mich mal interessieren wie es bei Python denn so vergleichsweise aussieht... Also solange ich mich mit Python auseinander setzte, gab es keine vergleichsweisen Meldungen... Da gab es mal diesen Bug im SimpleXMLRPCServer und das war es auch schon... Auch http://www.python.org/security/ führt nur diesen Fehler auf.
Eine Suche nach "Sicherheitslücke Python" brachte auch nur Buffer Overflow in Python 2.2. Eine suche nach Sicherheitslücke PHP liefet da schon deutlich mehr Auch wenn es da viel um Fehler in Software geschrieben in PHP und nicht um PHP selber geht...
Natürlich spielt da wieder die wesendlich größere verbreitung von PHP im Web mit, aber wie sieht ihr das mit dem Vergleich PHP <-> Python???
PHP Sicherheitslücken <-> Python ?!?!?
-
- User
- Beiträge: 1790
- Registriert: Donnerstag 28. Oktober 2004, 16:33
- Wohnort: Graz, Steiermark - Österreich
- Kontaktdaten:
Du hast ein Problem nicht. Code Injections. Alles was auf .php endet wird ausgeführt, das gilt für python scripte nicht.
Dafür ist es auch schwerer Webanwendungen zu schreiben (ich denke nur an meine WSGI Erfahrungen). Aber viele Sicherheitslücken sind nicht in Python.
Dafür ist es auch schwerer Webanwendungen zu schreiben (ich denke nur an meine WSGI Erfahrungen). Aber viele Sicherheitslücken sind nicht in Python.
TUFKAB – the user formerly known as blackbird
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Ach, da fällt mir gerade der Artikel "Mail-Formulare auf Webseiten absichern" in der c't 22/05, Seite 208 ein...
Ein Beispiel-PHP-Listing findet sich hier: http://www.heise.de/ct/ftp/05/22/208/
Dabei kann man bei einfach gestrickten Mail-Formularen in PHP das ganze zum SPAM versand misbrauchen, weil man zusätzliche BCC-Empfänger einschleusen kann... Das liegt an der dumm programmierten mail-Funktion in PHP, die die Header nicht wirklich kapseln, wie es Python's email-Module macht. Laut Artikel ist auch das entsprechende Perl-Modul sicher vor missbrauch...
EDIT: Wie das gehen kann, steht hier: http://www.python-forum.de/viewtopic.php?p=33551#33551
Ein Beispiel-PHP-Listing findet sich hier: http://www.heise.de/ct/ftp/05/22/208/
Dabei kann man bei einfach gestrickten Mail-Formularen in PHP das ganze zum SPAM versand misbrauchen, weil man zusätzliche BCC-Empfänger einschleusen kann... Das liegt an der dumm programmierten mail-Funktion in PHP, die die Header nicht wirklich kapseln, wie es Python's email-Module macht. Laut Artikel ist auch das entsprechende Perl-Modul sicher vor missbrauch...
EDIT: Wie das gehen kann, steht hier: http://www.python-forum.de/viewtopic.php?p=33551#33551
Zuletzt geändert von jens am Donnerstag 23. März 2006, 08:00, insgesamt 1-mal geändert.
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Und gerade gibt es wieder zwei Sicherheitslücken in PHP:
http://www.heise.de/security/news/meldung/65834
http://www.heise.de/security/news/meldung/65820
Anlass diesen Thead nochmals ins Leben zu rufen...
http://www.heise.de/security/news/meldung/65834
http://www.heise.de/security/news/meldung/65820
Anlass diesen Thead nochmals ins Leben zu rufen...
Sicherheitslücken in Python selber sind wohl relativ selten! Aber wenn man was in Python shcreibt muss man genauso wie bei PHP aufpassen keine Sicherheitslücke reinzubauen ... ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
SigMA
SigMA
Leichtdio.de - Das Kreativ-Blog
http://www.leichtdio.de
http://www.leichtdio.de
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig istSigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
-
- User
- Beiträge: 1790
- Registriert: Donnerstag 28. Oktober 2004, 16:33
- Wohnort: Graz, Steiermark - Österreich
- Kontaktdaten:
RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...jens hat geschrieben:In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig istSigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
TUFKAB – the user formerly known as blackbird
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Ich hab mal eine Wiki Seite angelegt: http://pythonwiki.pocoo.org/Thema_Sicherheit
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Naja, das kann ich noch nicht richtig einschätzen, was es wirklich für uns bringen wird...blackbird hat geschrieben:RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Na, das sehe ich skeptisch, obwohl die Arbeit von Tismerysoft, Armin Rigo & Co. sicher toll ist. Vielleicht bist du schon zu stark von xorAxAx' Propaganda beeinflusstblackbird hat geschrieben:PyPy wird marktreif. Wenn das keine Veränderung ist...
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
(btw. Ich hab das Thema mal geteilt. Über "Parameterübergabe an Kommandozeilen Tool" geht nun hier http://www.python-forum.de/viewtopic.php?t=4916 weiter...)
Nun will ich mal diesen Thread mal wieder beleben: <ironie>PHP hat sich in den vergangenen Tagen wieder mit hervoragendem Support in die NEWS gebracht</ironie>: PHP 5.1.2 update kurz nach dem erscheinen von 5.1.1 und PHP 4.4.2 update mit vielen Bugfixes
Und wie sieht es bei Python aus? Keine Updates seit Python 2.4.2 (vom 28. September, 2005) also fast 4 Monate. Das letzte Sicherheitsloch ist immer noch die XMLRPCServer Geschichte von 03.02.2005 also seid fast einem Jahr! Weiter so, hoffe ich
Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?
EDIT: http://forum.golem.de/read.php?8207,543 ... msg-543422
Nun will ich mal diesen Thread mal wieder beleben: <ironie>PHP hat sich in den vergangenen Tagen wieder mit hervoragendem Support in die NEWS gebracht</ironie>: PHP 5.1.2 update kurz nach dem erscheinen von 5.1.1 und PHP 4.4.2 update mit vielen Bugfixes
Und wie sieht es bei Python aus? Keine Updates seit Python 2.4.2 (vom 28. September, 2005) also fast 4 Monate. Das letzte Sicherheitsloch ist immer noch die XMLRPCServer Geschichte von 03.02.2005 also seid fast einem Jahr! Weiter so, hoffe ich
Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?
EDIT: http://forum.golem.de/read.php?8207,543 ... msg-543422
-
- User
- Beiträge: 670
- Registriert: Sonntag 15. Januar 2006, 18:42
- Wohnort: Celle
- Kontaktdaten:
Ja.Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?
Unabhängig davon dass PHP eine Programmiersprache ist die ich nicht mit dem kleinen Finger anfassen würde ist gerade die Standardbibliothek von PHP doch eher auf Web-Anwendungen ausgerichtet. Ein sinnvoller Vergleich vergleicht also nicht die Anzahl der Fixes für das Python-Grundpaket (welches eben "nur" aus Einzelbibliotheken besteht und so gut wie keine Frameworkfunktionalität beinhaltet) und PHP, sondern eher die Fixes zwischen einem Python-Web-Framework und PHP.
Und da sieht der Vergleich schon ein bißchen anders aus.
Das soll jetzt keine Führsprache für PHP sein, nur sollte man halt fair bleiben wenn man Dinge miteinander vergleicht. Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax.
--- Heiko.
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Hahaha! Wir brauchen eine Forums-Quote Seite im Wiki (hmm, und eine Forums-Seite überhaupt.. wenn ich Zeit finde richte ich die mal ein.)modelnine hat geschrieben:Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
So unbefleckt wie ich es gedacht hab, ist Python dann aber auch wieder nicht... Zumindest gibt es ein paar Bugs:
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Mal sehen:jens hat geschrieben:So unbefleckt wie ich es gedacht hab, ist Python dann aber auch wieder nicht... Zumindest gibt es ein paar Bugs:
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....
- Installer Bugs: Solange er richtig funktioniert interessiert es mich nicht ob er VBS braucht oder dass die Verknüpfungen kaputt sind. Kann man ja schnell beheben
- IDLE-Probleme mit Firewalls: Es gibt gute Alternativen zu IDLE
- ossaudiodev hängt auf einigen Red Hat Systemen.. naja, der Sound-Support von Python ist sowieso nicht besonders gut.
- Solaris tar entpackt die tarballs manchmal falsch: es gibt oft Probleme mit den Solaris-Tools, deswegen ist es auch dort praktisch GNU-Tools installiert zu haben.
- Paar Unittests gehen nicht. Ist auch nicht so tragisch
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Zur Auffrischung:
PHPs eregi() ist nicht "binary safe"
http://www.heise.de/security/news/meldung/74319
nett
PHPs eregi() ist nicht "binary safe"
http://www.heise.de/security/news/meldung/74319
nett
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Und wieder PHP: Integer Overflow im Modul zend_alloc.c
http://www.heise.de/security/news/meldung/79120
das: http://www.heise.de/security/news/meldung/76976
dieses: http://www.heise.de/security/news/meldung/78010
und jenes: http://www.heise.de/security/news/meldung/79044
http://www.heise.de/security/news/meldung/79120
das: http://www.heise.de/security/news/meldung/76976
dieses: http://www.heise.de/security/news/meldung/78010
und jenes: http://www.heise.de/security/news/meldung/79044
Bug in Python lässt beliebigen Code ausführen
--> http://www.heise.de/newsticker/meldung/79153
--> http://www.heise.de/newsticker/meldung/79153