Heute war auf der PHP Internals Mailingliste zu lesen, dass es ein neues Update des Taint Mode Patches gibt, welches ein paar Bugs behebt und PCRE Unterstützung mitbringt. Mehr Informationen dazu gibt’s auch im Wiki. Die Informationen zu den Performance-Einbußen, die man hinnehmen muss, klingen eigentlich recht akzeptabel.
Ich hatte vor einer Weile schonmal über den Patch berichtet, als der Patch erschienen war. Ich bin auf jeden Fall mal gespannt, was der Patch bringt und wie viel Performance im Livebetrieb wirklich verloren geht. Ich halte es im Prinzip für eine gute Ergänzung um eine Anwendung noch sicherer zu machen. Ich hoffe nur nicht, dass sich PHP Entwickler dann vollständig nur auf die Erweiterung verlassen, sondern selber auch noch Hirnschmalz in Sicherheit stecken. Das könnte nämlich fies nach hinten losgehen.
written by Alexander
\\ tags: internals, PHP, security, taint mode
Gestern hat Johannes Schlüter (PHP 5.3 Releasemaster) den Release-Plan für PHP 5.3 auf der Internals Mailingliste veröffentlicht. Für alle, die ein wenig interessiert am Entwicklungsfortschritt von PHP sind, ist der Thread sicher lesenswert.
Desweiteren hat Lukas Kahwe Smith am Mittwoch auf der Internals Mailingliste verkündet, dass es ab sofort ein offizielles PHP Wiki gibt, in dem zukünftig Informationen rund um PHP (Entwicklungsprozess, TODOS, etc) veröffentlicht werden sollen.
Sollte dies konsequent geführt werden, ist es auf jeden Fall eine Bereicherung für die PHP Community!
written by Alexander
\\ tags: internals, PHP, php 5.3, wiki
Diese Woche kam auf der Internals Mailingliste ein Thema auf, welches ich sehr interessiert verfolgt habe. Es dreht sich um das in PHP6 vorhandene php.ini Flag “unicode.semantics”, welches es ermöglicht den Unicode-Support der PHP-Funktionen abzuschalten und somit ein Verhalten wie in PHP(4|5) zu erzwingen.
Die Diskussion ist wirklich interessant, es lohnt sich mal weiterzulesen. Ich kann mich dem Grundgedanken nur anschließen und würde es auch begrüßen, wenn es diese Möglichkeit _nicht_ geben würde, denn sonst schleicht sich wieder so ein Problem ein wie bei PHP4. Viele würden dann einfach so weiter machen wie bisher, und einfach Unicode abschalten. Irgendwann würden sie wieder da stehen mit einer Anwendung, die auf PHP5 basiert, welches irgendwann auch nicht mehr unterstützt würde und man müßte sich wieder überlegen was man da wieder drehen kann. Daher denke ich auch ist ein “Ende mit Schrecken” besser als “Ein Schrecken ohne Ende”.
Ich bin der Meinung, dass man ohne Unicode auch im Internet nicht mehr aus kommt, daher würde ich das Entfernen der gerade erst eingeführten Schalter-Funktion auch begrüßen 
.
Nur meine kleine unqualifizierte Meinung … 
written by Alexander
\\ tags: internals, PHP, php 6, unicode
Heute tauchte ein Post auf der Internals Mailingliste des PHP-Projekts auf, der mein besonderes Interesse auf sich zog.
Da ich – wie so viele wohl auch – sehnlichst auf die neuen Features in PHP 5.3 und auch 6 warte, war ich ein wenig schockiert:
Hier argumentiert einer der Core-Entwickler – Derick Rethans – wieso er der Meinung ist, dass PHP ohne Namespaces auskommt und wieso die aktuell zur Diskussion stehende Implementation keinen besonderen Nährwert bringt. Die daraufhin entbrannte Diskussion unter den Entwicklern zeigt deutlich, dass es viele Fürsprecher und Gegner gibt.
Ich selber habe keine Erfahrungen mit Namespaces (nur die Theorie und ein bisschen in CPP) und kann nicht einschätzen, ob es sinnvoll ist für meine aktuelle Arbeit. Ich kann jedem Interessierten nur empfehlen den Thread durchzulesen, denn er gibt auf jeden Fall einen sehr tiefen Einblick in die verwendete Technik und ihre Vor- und Nachteile. Eine Meinung kann sich natürlich jeder selber machen. Ich bin mal gespannt, wie die Diskussion ausgeht .
written by Alexander
\\ tags: internals, namespaces, PHP, php 5.3, php 6
Seit gestern gibt es einen Patch, der für PHP erstmals den Tainted Mode implementiert. Das bedeutet, dass Daten, die von außen an die Anwendung gegeben werden, zunächst als gefährlich eingestuft, solange sie nicht von bestimmten Funktionen modifiziert worden sind. Das könnte unter anderem XSS verhindern. PHP ist in sofern konfigurierbar, dass man entscheiden kann, was passieren soll. Von garnichts bis hin zum Fatal Error für den Entwickler ist alles einstellbar und hilft frühzeitig schon Sicherheitslücken durch unbedachte Verwendung von Userinput zu verhindern.
Ich habe den Patch selber noch nicht ausprobiert und werde in der nächsten Zeit auch keine Zeit dazu haben, aber die Kommentare zeigen, dass man doch einiges positives davon erwarten kann. Ich bin gespannt auf die weitere Entwicklung und die Kommentare auf der Liste.
written by Alexander
\\ tags: internals, PHP, security
Kommentare