actualité
 L'actualité informatique et multimédia
 Sécurité du PHP : débat et scission chez les développeurs
 Un petit valium pour tout le monde et au lit
Sécurité

Une polémique fait actuellement rage dans le secteur de la sécurité du PHP. ll existe visiblement des différences d’opinions quant à la gestion des bugs et des failles signalées sur cette technologie utilisée par un très grand nombre de sites, dont celui de votre serviteur.

Stefan Esser, un membre de la PHP Security Response Team, a décidé de quitter l’équipe pour cause de vision divergente des évènements. Selon lui, les réactions aux bugs et failles sont bien trop lentes. Ses tentatives pour rendre le PHP plus sécurisé se sont révélées futiles. Il explique même qu’il est inutile de compter le nombre de fois où il a été accusé d’être un traître quand il publiait un bulletin de sécurité à propos d’une faille.

C’est que la méthode visant à sécuriser davantage le PHP est au cœur des débats. Selon Esser, le temps de réaction de l’équipe est beaucoup trop long. Seules trois personnes seraient affectées à la résolution des bugs et le manque de suivi provoque divers problèmes : failles partiellement corrigées, bugs réintroduits, etc. Son départ lui permettra selon lui de pouvoir continuer à émettre des bulletins de sécurité. Probablement une méthode pour provoquer des réactions.

Du côté des autres développeurs, l’attitude semble plus proche de la « technique » utilisée par les grands éditeurs : pas de bulletin de sécurité tant que la faille n’est pas corrigée. L’information reste donc bien au chaud, et ne risque pas de provoquer de répercussions indésirables. Zeev Suraski, responsable technique chez Zend, explique que la situation est provoquée par nombre de développeurs inexpérimentés qui utilisent le PHP de manière insécurisée.

Quand bien même, Esser estime que le langage pourrait être sécurisé davantage pour justement prendre en compte le fait qu’il est employé par un nombre trop important de développeurs inexpérimentés. Du côté de Zend, Suraski espère qu’Esser reprendra ses esprits et réintègrera l’équipe de sécurité. Il espère également que le « mois des bugs de sécurité du PHP » programmé par Esser quelque part en 2007 sera abandonné, de peur d’endommager le projet dans sa globalité.

On notera que Stefan Esser fait également partie du projet Hardened PHP dont l’objectif est de proposer des correctifs destinés à améliorer la sécurité du PHP. (Merci LiNuCe)

Rédigée par le vendredi 15 décembre 2006 à 06h34 (20233 lectures)
Source de l'INformation : Heise Security
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news
syndication netvibes scoopeo wikio

Il y a 126 commentaires dont 126 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

14 décembre 2006   Moteurs de recherche : 4,4 % des résultats sont dangereux
14 décembre 2006   Vol de portable chez Boeing, 382 000 identités exposées
13 décembre 2006   Certains comptes Hotmail pris en otage, rançon exigée
13 décembre 2006   Microsoft : bulletin de sécurité de décembre 2006
13 décembre 2006   Lutte contre le spam : Free met un filet devant le port 25
13 décembre 2006   Seconde faille "extrêmement critique" dans Word
12 décembre 2006   Kaspersky prédit une pluie de malwares pour Vista
11 décembre 2006   MultiDropper, premier spyware sur téléphone mobile

Recherches relatives : php - esser - sécurité