|
Nov
03
|
Seit gestern gibt es einen Patch, der für PHP erstmals den Tainted Mode implementiert. Das bedeutet, dass Daten, die von außen an die Anwendung gegeben werden, zunächst als gefährlich eingestuft, solange sie nicht von bestimmten Funktionen modifiziert worden sind. Das könnte unter anderem XSS verhindern. PHP ist in sofern konfigurierbar, dass man entscheiden kann, was passieren soll. Von garnichts bis hin zum Fatal Error für den Entwickler ist alles einstellbar und hilft frühzeitig schon Sicherheitslücken durch unbedachte Verwendung von Userinput zu verhindern.
Ich habe den Patch selber noch nicht ausprobiert und werde in der nächsten Zeit auch keine Zeit dazu haben, aber die Kommentare zeigen, dass man doch einiges positives davon erwarten kann. Ich bin gespannt auf die weitere Entwicklung und die Kommentare auf der Liste.
April 25th, 2008 at 16:23
Heute war auf der PHP Internals Mailingliste zu lesen, dass es ein neues Update des Taint Mode Patches gibt, welches ein paar Bugs behebt und PCRE Unterstützung mitbringt. Mehr Informationen dazu gibt’s auch im Wiki. Die Informationen zu den Performance-E