PHP Sicherheitslücken <-> Python ?!?!?

[Leonidas]

Bug in Python lässt beliebigen Code ausführen

Ist bei den Python Security Advisories noch nicht geführt, aber vielleicht bekommt PSF-2005-001 ja Gesellschaft.
Mein Ubuntu-Python 2.4 wurde heute automatisch geupdated, und Python 2.5 scheint diesen Fehler gar nicht erst zu haben

[mitsuhiko]

Bug in Python lässt beliebigen Code ausführen

Ist bei den Python Security Advisories noch nicht geführt, aber vielleicht bekommt PSF-2005-001 ja Gesellschaft.
Mein Ubuntu-Python 2.4 wurde heute automatisch geupdated, und Python 2.5 scheint diesen Fehler gar nicht erst zu haben

Und es betrifft nur Leute mit ucs4, also kaum jemanden.

[BlackJack]

Und es betrifft nur Leute mit ucs4, also kaum jemanden.

Ich dachte das würde die meisten betreffen!? Immerhin schon mal alle Ubuntu-Benutzer.

[mitsuhiko]

Und es betrifft nur Leute mit ucs4, also kaum jemanden.

Ich dachte das würde die meisten betreffen!? Immerhin schon mal alle Ubuntu-Benutzer.

Nein. ubuntu hat ucs4 builds erst seit einiger Zeit. Default Einstellung beim Kompilieren ist ucs2

[jens]

Oh, hab ich gerade per Zufall gefunden "DoS Sicherheitslücke in Rubys CGI Bibliothek":
http://www.ruby-lang.org/de/news/2006/1 ... ibliothek/
http://cve.mitre.org/cgi-bin/cvename.cg ... -2006-5467

[rolgal_reloaded]

Hey jens,

was wird denn das
Klickst du dich hysterisch durchs Web mit der Hoffnung möglichst viele Meldungen zu Bugs anderer Programmiersprachen zu finden

Ist nur ein Scherz

Ich sehe das ganz einfach, Python rules und .

Liebe Grüße

rolgal_reloaded

[jens]

Ich hab irgendwann mal diesen Thread aufgemacht um mehr über die schwächen von Python in Bezug auf Sicherheit zu erfahren... Da im Web PHP sehr verbreitet ist und als nicht gerade sicher gilt, war das ein schöner Aufhänger...
Rund um Python gibt es aber irgendwie nicht so besonders viel.

Eigentlich wollte ich mit den gewonnen Informationen die Wiki Seite [wiki]Thema Sicherheit[/wiki] füttern...

Nun füttere ich den Thread, wenn ich mal was finde

[sape]

Ziemlich einseitig was einige hier posten, als ob Python das maß der Dinge wäre

Ich mag Python auch sehr und für mich ist es die bis her schönste Sprache, aber man kanns auch übertreiben.

lg

[jens]

Übertreiben, ach quatsch

[sape]

Übertreiben, ach quatsch

Wenn man einen Vergleich anstellt dann Objektiv und in der richtigen Relation, der mMn hier fehlt (Ich sag nur der Vergleich Zwischen PHP-Sicherheitslücken VS. Python Sicherheitslücken.).

[rolgal_reloaded]

Ziemlich einseitig was einige hier posten, als ob Python das maß der Dinge wäre

sorry wusste nicht, dass das nicht der Fall ist

LG

rolgal_reloaded

[sape]

BTW: Nein ich bin kein PHP Fan oder Fan von Ruby, aber das tut nichts zur Sache wenn es um einen objektiven Vergleich geht, der auch in der richtige Relation sein sollte

[rolgal_reloaded]

Übertreiben, ach quatsch

Wenn man einen Vergleich anstellt dann Objektiv und in der richtigen Relation, der mMn hier fehlt (Ich sag nur der Vergleich Zwischen PHP-Sicherheitslücken VS. Python Sicherheitslücken.).

Objektiv, richtige Relation?
Das geht halt nicht immer, das klappt z. B. auch nicht wenn du Schlagermusik mit Klassik vergleichst.

r_r

[sape]

Ziemlich einseitig was einige hier posten, als ob Python das maß der Dinge wäre

sorry wusste nicht, dass das nicht der Fall ist

LG

rolgal_reloaded

Ich lach später Ich denke diese Community hat es verdient ernst genommen zu werden, die aber genau durch solche eine Art dekreditiert wird!!

[jens]

Gegenseitig dürfen wir uns aber schon auf die Schulter klopfen und sagen, ja, wir arbeiten mit der absolut besten Sprache der Welt... ...ach was, des Universums und das ist noch untertrieben !

Oder nicht?

btw. Filmemacher erzählen im Interview auch immer das alle das beste gegeben haben, das Konzept das tollste ist und überhaupt alles andere ist Mist...

[BlackJack]

Ich verstehe nicht so ganz warum der Vergleich PHP vs. Python in Punkto Sicherheitslücken unverhältnismässig sein soll?

Ich denke man kann objektiv sagen das CPython sehr sauberer, geplanter und gut strukturierter C- und Python-Quelltext ist und PHP als Sprache ziemlich "zusammengehackt". Das werden auch PHP-Jünger bestätigen.

Und wenn man sich die Anzahl der Sicherheitspatches bei PHP anschaut und die mit denen von Python vergleicht, dann sind da einfach mal Welten dazwischen. Bei Python sind's soweit ich weiss 2 kritische Sicherheitspatches gewesen und bei PHP?

Das kann natürlich daran liegen, dass Python im Web mangels Verbreitung nicht so eine grosse Angriffsfläche bietet, aber ich habe in den Quelltext schon recht viel Vertrauen.

[jens]

@BlackJack: Da muß ich doch gleich mal von die klauen, wenn du erlaubst: [wiki]von PHP zu Python[/wiki]

Ich hab auch einen interessanten Abschnitt bei Wikipedia gefunden: PHP Mängel

[sape]

Gegenseitig dürfen wir uns aber schon auf die Schulter klopfen und sagen, ja, wir arbeiten mit der absolut besten Sprache der Welt... ...ach was, des Universums und das ist noch untertrieben !

Wie gesagt mir gefällt Python bis her auch am besten Aber man sollte doch ein wenig, hmm, ja, nicht polemisch rüberkommen, sondern wenn schon Objektive und elaborierter sein, und nicht platt sagen: "Die Sprache ist zum kotzen und überhaupt ist Sprache xyz sowieso das maß aller dinge". So was finde ich überheblich und äußerst abschreckend und wirf kein gutes Bild auf die Community

Oder nicht?

Wie ich schon subtil versucht hab anzumerken, finde ich das lol an solch einer stelle echt unpassend und lässt mich darauf schließen dass keine reife vorhanden ist. Wenn ich es nicht besser wüsste Daher nicht persönlich nahem, ich weiß ja das es anders ist. Aber ein Außenstehender könnte durchaus zu dem Entschluss kommen das dir an reife fehlt.

Ich verstehe nicht so ganz warum der Vergleich PHP vs. Python in Punkto Sicherheitslücken unverhältnismässig sein soll?

Ich denke man kann objektiv sagen das CPython sehr sauberer, geplanter und gut strukturierter C- und Python-Quelltext ist und PHP als Sprache ziemlich "zusammengehackt". Das werden auch PHP-Jünger bestätigen.

Dagegen spricht ja auch nichts, aber es ist die Art wie man das äußert. Aber davon abgesehen kann man wirklich schlecht PHP mit Python vergleichen, das ja nur auf Web ausgelegt ist und auch häufiger anzutreffen ist als Python. Daher gibt es bei PHP auch mehr läute die als Bug-Exploiter ihre zeit verbringen. Ist so ähnlich wie mit Linux und Windows. Windows bietet einfach durch die starke Verbreitung (nicht zu letzt dadurch da viele ein Fan von M$ sind ^^) eine interessantere und größere Angriffsfläche für Virenschreiber oder Kurz gesagt: Script Kiddis.

Das kann natürlich daran liegen, dass Python im Web mangels Verbreitung nicht so eine grosse Angriffsfläche bietet, aber ich habe in den Quelltext schon recht viel Vertrauen.

Auf jeden fall wird das mit daran liegen Es ist schon ne ziemlich Anmaßung indirekt (impliziert) anzudeuten, das die Entwickler von PHP keine Ahnung von dem haben was sie tun.

EDIT: Rechtschreibefehler berichtigt.

[Y0Gi]

Es ist schon ne ziemlich Anmaßung indirekt (impliziert) anzudeuten, das die Entwickler von PHP keine Ahnung von dem haben was sie tun.

Leider zeigt sich das aber immer wieder und einige des Kernteams sagen das wohl auch über sich und andere. In PHP ist soviel gutes Sprachdesign wie Sauerstoff im Weltall.


Dennoch sieht mir zumindest die Ruby-Geschichte zu sehr nach einem unschönen, überflüssigen Seitenhieb aus.

[Rebecca]

XtraNine, was regst du dich so ueber Posts auf, die offensichtlich nicht ganz ernst gemeint sind? Und und Co. sagen doch gerade aus, dass die Leute Witze gemacht haben, dafuer haben wir doch diese netten Smileys...

Naja, erinnern wir uns mal wieder an diese Studie, dass x Prozent von Leuten den Tenor einer Mail falsch auffassen, obwohl y Prozent der Meinug waren, die Mail richtig aufgefasst zu haben...