giovedì 29 maggio 2008

PHP ancora nell’occhio del ciclone

di

Dopo il Month of PHP Bug voluto da Stefan Esser, ecco che si ritorna a parlare di PHP, anche questa volta in tono negativo e anche questa volta ad agitare i pugni è Stefan Esser.

Stefan Esser è un ex sviluppatore del PHP Security Response Team, il team interno di PHP che si occupa della sicurezza, e il suo abbandono è stato tutt’altro che pacifico. Egli, infatti, accusava l’intero team di sviluppo di prestare scarsa importanza ai problemi di sicurezza, di non essere particolarmente efficiente nel risolvere i bug e altre accuse poco piacevoli.

Nel periodo del Month of Bugs, Stefan, ha pubblicato un bug al giorno di sicurezza non risolto all’interno di PHP, con l’intenzione di sensibilizzare l’intera comunità e portare l’attenzione su una questione di primaria importanza.

L’evento, come da previsioni, ha avuto un’enorme risonanza, tanto che a poca distanza dalla sua conclusione fu rilasciata una nuova release in cui si correggevano molti di questi bug, ma Esser torna all’attacco, non ancora soddisfatto del lavoro che il team di sviluppo sta facendo, o meglio non facendo, su PHP.

Fra i tanti bug segnalati da lui a marzo vi è una vulnerabilità che riguarda il più classico dei buffer overflow del variable reference counter, presente in PHP4.

Tale vulnerabilità, a detta di Esser, è molto grave e permetterebbe l’esecuzione di codice arbitrario all’interno del processo che esegue PHP, consentendo quindi di scavalcare tutte le restrizioni di sicurezza presenti normalmente nel linguaggio. Dopo più di due mesi la falla risulta ancora irrisolta ed Esser torna a inveire contro i suoi ex colleghi e annuncia sul suo blog la disponibilità di una patch da lui creata, e quindi non ufficiale, che risolve il problema.

Senza dubbio un colpo basso, ma forse necessario. Effettivamente lo sviluppo di PHP non procede nel migliore dei modi, non c’è una roadmap affidabile riguardo il futuro di PHP e il presente è caratterizzato da una scarsa coesione del team e dell’interesse commerciale che hanno alcuni dei fondatori di PHP stesso: Andi Gutmans e Zeev Suraski. Si ricorda, infatti, che queste due persone sono i fondatori di Zend, che attualmente intrattiene accordi commerciali con grossi nomi dell’industria come IBM, Sun e Microsoft. Non che sia vietato, open source non significa non poterci guadagnare su, ma tendenzialmente la comunità vuole evitare legami troppo stretti con realtà imprenditoriali di grosse dimensioni.


Fonte : www.oneopensource.it

Posta un commento