forum.opennet.ru - "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." (42)

"Проект Snuffleupagus развивает PHP-модуль для блокирования у..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
Сообщение от opennews (??), 04-Июл-19, 13:39
В рамках проекта Snuffleupagus (https://snuffleupagus.readthedocs.io/) развивается (https://dustri.org/b/snuffleupagus-versus-recent-high-profil...) модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini) и распространяется (https://github.com/nbs-system/snuffleupagus) под лицензией LGPL 3.0. Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило "sp.disable_function.function("system").param("command").value_r("[$\|;&`\\n]").drop();" позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать виртуальные патчи (https://snuffleupagus.readthedocs.io/config.html#virtual-pat...) для блокирования известных уязвимостей. Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита. Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, связанные (https://www.owasp.org/images/9/9e/Utilizing-Code-Reuse-Or-Re...) с сериализацией данных, небезопасным (https://www.opennet.ru/opennews/art.shtml?num=45774) использованием PHP-функции mail(), утечкой содержимого Cookie при проведении XSS атак, проблемами из-за загрузки файлов с исполняемым кодом (например, в формате phar (https://www.opennet.ru/opennews/art.shtml?num=49641)), некачественной генерацией случайных чисел и подстановкой (https://en.wikipedia.org/wiki/XML_external_entity_attack) некорректных конструкций XML. Из режимов для повышения защиты PHP поддерживаются: - Автоматическое включение флагов "secure" и "samesite" (защита от CSRF) для Cookie, шифрование (https://snuffleupagus.readthedocs.io/cookies.html#cookie-enc...) Cookie; - Встроенный набор правил для выявления следов совершения атак и компрометации приложений; - Принудительное глобальное включение режима "strict (https://secure.php.net/manual/en/migration70.new-features.ph...)" (например, блокирует попытку указания строки при ожидании в качестве аргумента целочисленного значения) и защита от манипуляций с типами (https://www.php.net/manual/ru/language.types.type-juggling.php); - Блокирование по умолчанию обёрток для протоколов (https://www.php.net/manual/ru/wrappers.php) (например, запрет "phar://")с их явным разрешением по белому списку; - Запрет на исполнение файлов, которые доступны на запись; - Чёрные и белые списки для eval; - Включение обязательно проверки сертификатов TLS при использовании curl; - Добавление HMAC к сериализованным объектам для гарантирования, что при десериализации получены данные, сохранённые исходным приложением; - Режим журналирования запросов; - Блокирование загрузки внешних файлов в libxml по ссылкам в XML-документах; - Возможность подключения внешних обработчиков (upload_validation) для проверки и сканирования загружаемых файлов; Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Отмечается (https://dustri.org/b/snuffleupagus-versus-recent-high-profil...), что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, Wordpress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима "sp.readonly_exec.enable()". URL: https://dustri.org/b/snuffleupagus-versus-recent-high-profil... Новость: https://www.opennet.ru/opennews/art.shtml?num=51031
Ответить \| Правка \| Cообщить модератору

Оглавление

Годнота, дайте два , Аноним (1), 13:39 , 04-Июл-19, (1) –2

Hardened-PHPhttps gsec hitb org sg2018 speakers stefan-esserhttps www darkne, Cradle (?), 13:57 , 04-Июл-19, (4) +3

итого на одно разумное действие блокировка ненужно-phar, которую можно получит, пох. (?), 13:41 , 04-Июл-19, (2) +3
Антивирус , Аноним (3), 13:54 , 04-Июл-19, (3) –1

Тут не вирус, тут попытка кодом заткнуть баги прокладки между сиденьем и клавиат, Аноним (10), 15:05 , 04-Июл-19, (10) +1

Ну да, типичный антивирус , Аноним (14), 18:19 , 04-Июл-19, (14) +1

и так же забросят как забросили suhosin, Sw00p aka Jerom (?), 13:58 , 04-Июл-19, (5) +3

у suhosin сломался автор - потому что он как раз пытался сделать так, чтобы его , пох. (?), 14:21 , 04-Июл-19, (6) +7

а, хотя нет - похоже, они ее как раз дорогим юзерам навязывают Ну чо, тогда суд, пох. (?), 14:25 , 04-Июл-19, (7)
Внезапно - проект таки ещё не помер - её предлагается попробовать для php 7 3, IRASoldier_registered (ok), 21:37 , 04-Июл-19, (17)

пихать на прод альфу в свое время поэтому от него и отказался, пока он под 5 3 , Sw00p aka Jerom (?), 01:34 , 05-Июл-19, (22)

ты б по ссылке пошел - наоборот там написано у меня тут еще не совсем уже но п, пох. (?), 07:23 , 05-Июл-19, (25)
Зачем на прод Так, посмотреть , IRASoldier_registered (ok), 09:44 , 05-Июл-19, (30)

Я у вас много свободного времени , Sw00p aka Jerom (?), 13:01 , 05-Июл-19, (35)

Иногда , IRASoldier_registered (ok), 16:07 , 05-Июл-19, (40)

таки уже уже - лет десять тому настало, если не больше Ну пошевелился покойни, пох. (?), 07:21 , 05-Июл-19, (24)

О Боже, ещё один труп реинкарнировали С nginx сей адъ течет, плюс реализация че, Sw00p aka Jerom (?), 09:44 , 05-Июл-19, (29) +1

в том и дело, что апачевская версия 2 - вполне была живая и работающая а если т, пох. (?), 10:27 , 05-Июл-19, (33) +1

согласенлучше школьникам заплатить за аудит кода, чем придумывать заплатки , Sw00p aka Jerom (?), 13:04 , 05-Июл-19, (36)

да они тебе и бесплатно наудитят, в поисках чо бы поломать - а толку-то Сам что, пох. (?), 13:19 , 05-Июл-19, (37)

Здесь, в общем, согласен И еженедельным чтением PHP The Right Way с отправкой , IRASoldier_registered (ok), 09:52 , 05-Июл-19, (32)

поадминистрил бы пару лет помойку, сделанную на resin - понял бы - кто не в ку, пох. (?), 10:30 , 05-Июл-19, (34)

Нафига кто-то вздумал Resin ставить Чем кошерный Tomcat не угодил А этот ихний, IRASoldier_registered (ok), 16:07 , 05-Июл-19, (39)

10004 simple configuration you can copy paste docs you can understand- чо н, пох. (?), 20:01 , 05-Июл-19, (41) –1

Бл , IRASoldier_registered (ok), 22:29 , 05-Июл-19, (42)

https www nbs-system com Хотя вряд-ли это что-то меняет - , Аноним (27), 08:38 , 05-Июл-19, (27)

поменяет - отношение к OVH - они может и любят друг-друга по-хранцузски, но хоть, пох. (?), 09:38 , 05-Июл-19, (28) –1

Теперь создавать IИDEX рнр можно будет еще безопаснее, Аноним (8), 14:34 , 04-Июл-19, (8) +1
Скажем дружно нах р нужно Это не решение проблемы, а полумера - попытка угодит, Аноним (10), 15:03 , 04-Июл-19, (9) –1

да какое там угодить , он же ж все поломает к хренам причем половина этих улучш, пох. (?), 17:45 , 04-Июл-19, (12) –3

новая разновидность манкипатчинга, лол , Аноним (11), 16:16 , 04-Июл-19, (11)
Вот это по пэхапэшному Пыхеры не зря гордятся тем, что умеют писать свой код бы, YetAnotherOnanym (ok), 19:30 , 04-Июл-19, (15) –1

Чо, правда , Аноним (16), 21:14 , 04-Июл-19, (16) –1

Нужно, спастбо разработчикам Внедрить эту штуку гораздо проще, чем писать все с, mikhailnov (ok), 22:27 , 04-Июл-19, (18) –1

Причиной пожара стало возгорание противопожарной системы , Аноним (19), 22:48 , 04-Июл-19, (19) +3

так все это порочный круг, щит и меч , Sw00p aka Jerom (?), 01:35 , 05-Июл-19, (23)

Пыхокод чтобы защитить пыхокод от дыр В чём же подвох 129300 , Аноним (20), 00:08 , 05-Июл-19, (20) –1

В том, что это не пыхокод Там so , Аноним (21), 01:23 , 05-Июл-19, (21)

виртуальный патчиг это хорошо очень хорошо помагает, когда в проектах много лег, andy (??), 07:41 , 05-Июл-19, (26)

А придется, при чем в авральном режиме, когда после 171 виртуального патчига , Аноним (31), 09:49 , 05-Июл-19, (31) +1

смотря на чем организовывать такой вот виртуальный патчинг например, если на ва, Аноним (43), 01:08 , 08-Июл-19, (43)

т е можно не беспокоиться о безопасности и дальше писать говнокод на пхп, жека воробьев (?), 13:34 , 05-Июл-19, (38) +1

Сообщения [Сортировка по времени | RSS]

1. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –2 +/–

Сообщение от Аноним (1), 04-Июл-19, 13:39

Годнота, дайте два!

Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +3 +/–

Сообщение от Cradle (?), 04-Июл-19, 13:57

Hardened-PHP
https://gsec.hitb.org/sg2018/speakers/stefan-esser
https://www.darknet.org.uk/2007/01/php-security-specialist-s...

Ответить | Правка | Наверх | Cообщить модератору

2. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +3 +/–

Сообщение от пох. (?), 04-Июл-19, 13:41

итого на одно разумное действие (блокировка ненужно-phar, которую можно получить и другими методами) -мильен вредных, работать будут только васян-поделки, а весь остальной мир - как обычно, "неправильный".

Ответить | Правка | Наверх | Cообщить модератору

3. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от Аноним (3), 04-Июл-19, 13:54

Антивирус?

Ответить | Правка | Наверх | Cообщить модератору

10. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от Аноним (10), 04-Июл-19, 15:05

Тут не вирус, тут попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой.

Ответить | Правка | Наверх | Cообщить модератору

14. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от Аноним (14), 04-Июл-19, 18:19

> попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой.
Ну да, типичный антивирус.

Ответить | Правка | Наверх | Cообщить модератору

5. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +3 +/–

Сообщение от Sw00p aka Jerom (?), 04-Июл-19, 13:58

и так же забросят как забросили suhosin

Ответить | Правка | Наверх | Cообщить модератору

6. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +7 +/–

Сообщение от пох. (?), 04-Июл-19, 14:21

у suhosin сломался автор - потому что он как раз пытался сделать так, чтобы его аддон НЕ ломал обычные сайты, написанные нашими обычными разработчиками - с руками из жопы и с головой там же.
При этом он до посинения ругался с точно такими же - разработчиками самого php, пытаясь убедить их хотя бы от совсем идиотских шагов отказаться или отключить опасный функционал по умолчанию. И в конечном итоге заявил что горбатого исправит только могила, но он очень рекомендует забить для профилактики еще и осиновый кол.
А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга" (читай, OVH ;-)
где при поломке ей функционала - можно отп-ть разработчика, а не добавлять очередной костылик. Поэтому, пока сайт не переделают на чем-то другом нескучном - будет жить, но нам с вами пользы от этого зверя совершенно никакой.

Ответить | Правка | Наверх | Cообщить модератору

7. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от пох. (?), 04-Июл-19, 14:25

> А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга"
> (читай, OVH ;-)
а, хотя нет - похоже, они ее как раз дорогим юзерам навязывают.
Ну чо, тогда судьба довольно предсказуема - юзеру нахрен не нужно чтоб у него сайт сломался потому что "принудительно включили режим strict".

Ответить | Правка | Наверх | Cообщить модератору

17. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 04-Июл-19, 21:37

>у suhosin
Внезапно - проект таки ещё не помер.
>А эта поделка
- её предлагается попробовать для php >= 7.3 на страничке https://github.com/sektioneins/suhosin7
Как-то так.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 01:34

>её предлагается попробовать для php >= 7.3
пихать на прод альфу? в свое время поэтому от него и отказался, пока он под 5.3 работал, 5.6 уже стабильный был. Так и сейчас.
>Внезапно - проект таки ещё не помер.
помер

Ответить | Правка | Наверх | Cообщить модератору

25. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от пох. (?), 05-Июл-19, 07:23

> пихать на прод альфу?
ты б по ссылке пошел - наоборот. там написано "у меня тут еще не совсем уже но пока скоро готово для продакшн", и ссылка на этих лягушкозавров - типа, идите туда, а тут ловить нечего.
В 5.3 он как раз и окуклился - и было это в 2010м.

Ответить | Правка | Наверх | Cообщить модератору

30. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:44

Зачем на прод? Так, посмотреть.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

35. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:01

Я у вас много свободного времени?

Ответить | Правка | Наверх | Cообщить модератору

40. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07

Иногда.

Ответить | Правка | Наверх | Cообщить модератору

24. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от пох. (?), 05-Июл-19, 07:21

> Внезапно - проект таки ещё не помер.
таки уже.
("уже" - лет десять тому настало, если не больше)
Ну пошевелился покойничек, зачитал обращение к согражданам, а дальше - "воротился в свой чудной гроб и там испустил дух, да такой сильный, что иные попадали замертво".
> предлагается попробовать для php >= 7.3
что говорит о том, что автор окончательно сдался и времени на войну с ветряными мельницами ему жалко - даже, как видишь, предлагает валить на конкурирующий проект с несовместимыми настройками, а не ставить свою "пре-альфу". Идеи у него, вишь, есть, а пороху программировать - нет.
imho, выкрасить и выбросить - обоих. Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review, а чужим ты этой штукой просто все попереломаешь, причем в непредсказуемых местах.
С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

29. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 09:44

>>С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin)
О Боже, ещё один труп реинкарнировали? С nginx сей адъ течет, плюс реализация через одно место, не говорю уже про рулы, которые байпасят школьники

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от пох. (?), 05-Июл-19, 10:27

в том и дело, что апачевская версия 2 - вполне была живая и работающая (а если ты хостишь чужой хлам на пехепе - попытки делать это без апача только приведут к лишним неприятностям).
неработающая третья, и это не труп, а выкидыш - он никогда живым и не был. Ну не умеют его разработчики без apr, не умеют. Заказ (или может даже грант) получили, кое-как отработали, довели проект до полуработающей беты на радость манагерам nginx.com, и бросили.
А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать. Бешплатные такие же школьники и пишут, у них времени много.

Ответить | Правка | Наверх | Cообщить модератору

36. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:04

>в том и дело, что апачевская версия 2 - вполне была живая и работающая
согласен
>А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать.
лучше школьникам заплатить за аудит кода, чем придумывать заплатки.

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от пох. (?), 05-Июл-19, 13:19

да они тебе и бесплатно наудитят, в поисках чо бы поломать - а толку-то? Сам что-ли полезешь исправлять все эти магенты и вротпрессы пяти разных версий, размазанные по серверам?
А так - дверь бревнышком подпер, и надеешься, что не поломают. В конце-концов, от совсем глупых школьников и типовых червей оно вполне помогало. А там либо горе-разработчик проснется, либо сервис объявят устаревшим и можно будет его наконец-то выпилить.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:52

> Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема
> решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review
Здесь, в общем, согласен. И еженедельным чтением PHP: The Right Way с отправкой избранных цитат на телефон ежедневно для утренних и вечерних медитаций. (Хотя жаба-то что, в упор не понимаю её хейтеров.)

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

34. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от пох. (?), 05-Июл-19, 10:30

поадминистрил бы пару лет помойку, сделанную на resin - понял бы ;-)
(кто не в курсе - это такой php, но жаба. ;-)

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07

Нафига кто-то вздумал Resin ставить? Чем кошерный Tomcat не угодил? А этот ихний Quercus - адописное зло.

Ответить | Правка | Наверх | Cообщить модератору

41. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от пох. (?), 05-Июл-19, 20:01

✔ simple configuration you can copy & paste docs you can understand
- чо непонятного-то?
Оно, кстати, само по себе даже и не висло особо, в отличие от tomcat. Но и уровень кодеров - ну прямо как пехепе, только это еще и жаба, ничего по месту не поправить. Стопиццот jspшников методом ctrl-c/ctrl-v - simple же ж. "ой, память опять кончилась".
> А этот ихний Quercus - адописное зло.
по-моему они просто глумились - "пехепе на жабе мы уже в общем-то написали - давайте, прикола ради, еще и настоящий php интерпретировать, хрен ли там дел-то"
хорошо еще хоть им быстро надоело, и дальше показательного запуска друпала дело не пошло, а то php7 мог и не родиться.
Они вообще любили приколы:
http://wiki4.caucho.com/NginX_1.2.0_versus_Resin_4.0.29_perf...
- tomcat так сможет? (а, ну да - он просто повиснет и тест никогда не удатся провести до конца ;-)

Ответить | Правка | Наверх | Cообщить модератору

42. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от IRASoldier_registered (ok), 05-Июл-19, 22:29

>you can copy & paste docs you can understand
Бл***

Ответить | Правка | Наверх | Cообщить модератору

27. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Аноним (27), 05-Июл-19, 08:38

>> читай, OVH
https://www.nbs-system.com/. Хотя вряд-ли это что-то меняет :-)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от пох. (?), 05-Июл-19, 09:38

поменяет - отношение к OVH - они может и любят друг-друга по-хранцузски, но хоть пользователей не пытаются.
А эти вот похоже - совсем в плахом смисле.

Ответить | Правка | Наверх | Cообщить модератору

8. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от Аноним (8), 04-Июл-19, 14:34

Теперь создавать IИDEX.рнр можно будет еще безопаснее

Ответить | Правка | Наверх | Cообщить модератору

9. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от Аноним (10), 04-Июл-19, 15:03

Скажем дружно: нах@р нужно. Это не решение проблемы, а полумера - попытка угодить криворучкам и компенсировать потери от таковых.

Ответить | Правка | Наверх | Cообщить модератору

12. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –3 +/–

Сообщение от пох. (?), 04-Июл-19, 17:45

да какое там "угодить", он же ж все поломает к хренам.
причем половина этих улучшизмов - какое-то феерическое ненужно, типа включения обязательной проверки сертификатов в curl (которое в седьмой версии и так включено, и приходится выключать)

Ответить | Правка | Наверх | Cообщить модератору

11. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Аноним (11), 04-Июл-19, 16:16

новая разновидность манкипатчинга, лол.

Ответить | Правка | Наверх | Cообщить модератору

15. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от YetAnotherOnanym (ok), 04-Июл-19, 19:30

Вот это по пэхапэшному! Пыхеры не зря гордятся тем, что умеют писать свой код быстро, теперь мы видим, что даже анализ и патчинг их кода приходится выполнять на лету - иначе никак не угнаться.

Ответить | Правка | Наверх | Cообщить модератору

16. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от Аноним (16), 04-Июл-19, 21:14

> Пыхеры не зря гордятся тем, что умеют писать свой код быстро
Чо, правда?

Ответить | Правка | Наверх | Cообщить модератору

18. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от mikhailnov (ok), 04-Июл-19, 22:27

Нужно, спастбо разработчикам. Внедрить эту штуку гораздо проще, чем писать все самому вместо применения готовых плагинов для WordPress, при том что качество самописного кода все равно будет не лучше. Надо попробовать. Но возможность уязвимости в блокировщике уязвимостей - напрягает.

Ответить | Правка | Наверх | Cообщить модератору

19. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +3 +/–

Сообщение от Аноним (19), 04-Июл-19, 22:48

> уязвимости в блокировщике уязвимостей
Причиной пожара стало возгорание противопожарной системы ))

Ответить | Правка | Наверх | Cообщить модератору

23. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 01:35

так все это порочный круг, щит и меч.

Ответить | Правка | Наверх | Cообщить модератору

20. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." –1 +/–

Сообщение от Аноним (20), 05-Июл-19, 00:08

Пыхокод чтобы защитить пыхокод от дыр. В чём же подвох?.. 🤔

Ответить | Правка | Наверх | Cообщить модератору

21. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Аноним (21), 05-Июл-19, 01:23

В том, что это не пыхокод. Там .so.

Ответить | Правка | Наверх | Cообщить модератору

26. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от andy (??), 05-Июл-19, 07:41

виртуальный патчиг это хорошо. очень хорошо помагает, когда в проектах много легаси кода, и никто не желает в него лезть и разбиратся

Ответить | Правка | Наверх | Cообщить модератору

31. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от Аноним (31), 05-Июл-19, 09:49

> виртуальный патчиг это хорошо. очень хорошо помагает, когда в проектах много легаси кода, и никто не желает в него лезть и разбиратся
А придется, при чем в авральном режиме, когда после «виртуального патчига» внезапно отвалится то, что в принципе отваливаться не должно.

Ответить | Правка | Наверх | Cообщить модератору

43. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +/–

Сообщение от Аноним (43), 08-Июл-19, 01:08

смотря на чем организовывать такой вот виртуальный патчинг. например, если на вафе, то всегда можно вендора пнуть, а не у волосы из жопы дергать..

Ответить | Правка | Наверх | Cообщить модератору

38. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..." +1 +/–

Сообщение от жека воробьев (?), 05-Июл-19, 13:34

т.е. можно не беспокоиться о безопасности и дальше писать говнокод на пхп

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–2 +/–
Сообщение от Аноним (1), 04-Июл-19, 13:39
Годнота, дайте два!
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+3 +/–
	Сообщение от Cradle (?), 04-Июл-19, 13:57
	Hardened-PHP https://gsec.hitb.org/sg2018/speakers/stefan-esser https://www.darknet.org.uk/2007/01/php-security-specialist-s...
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+3 +/–
Сообщение от пох. (?), 04-Июл-19, 13:41
итого на одно разумное действие (блокировка ненужно-phar, которую можно получить и другими методами) -мильен вредных, работать будут только васян-поделки, а весь остальной мир - как обычно, "неправильный".
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–1 +/–
Сообщение от Аноним (3), 04-Июл-19, 13:54
Антивирус?
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+1 +/–
	Сообщение от Аноним (10), 04-Июл-19, 15:05
	Тут не вирус, тут попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+1 +/–
	Сообщение от Аноним (14), 04-Июл-19, 18:19
	> попытка кодом заткнуть баги прокладки между сиденьем и клавиатурой. Ну да, типичный антивирус.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+3 +/–
Сообщение от Sw00p aka Jerom (?), 04-Июл-19, 13:58
и так же забросят как забросили suhosin
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+7 +/–
	Сообщение от пох. (?), 04-Июл-19, 14:21
	у suhosin сломался автор - потому что он как раз пытался сделать так, чтобы его аддон НЕ ломал обычные сайты, написанные нашими обычными разработчиками - с руками из жопы и с головой там же. При этом он до посинения ругался с точно такими же - разработчиками самого php, пытаясь убедить их хотя бы от совсем идиотских шагов отказаться или отключить опасный функционал по умолчанию. И в конечном итоге заявил что горбатого исправит только могила, но он очень рекомендует забить для профилактики еще и осиновый кол. А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга" (читай, OVH ;-) где при поломке ей функционала - можно отп-ть разработчика, а не добавлять очередной костылик. Поэтому, пока сайт не переделают на чем-то другом нескучном - будет жить, но нам с вами пользы от этого зверя совершенно никакой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от пох. (?), 04-Июл-19, 14:25
	> А эта поделка сделана для васян-сайта, "одного из крупных французских операторов хостинга" > (читай, OVH ;-) а, хотя нет - похоже, они ее как раз дорогим юзерам навязывают. Ну чо, тогда судьба довольно предсказуема - юзеру нахрен не нужно чтоб у него сайт сломался потому что "принудительно включили режим strict".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 04-Июл-19, 21:37
	>у suhosin Внезапно - проект таки ещё не помер. >А эта поделка - её предлагается попробовать для php >= 7.3 на страничке https://github.com/sektioneins/suhosin7 Как-то так.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	22. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 01:34
	>её предлагается попробовать для php >= 7.3 пихать на прод альфу? в свое время поэтому от него и отказался, пока он под 5.3 работал, 5.6 уже стабильный был. Так и сейчас. >Внезапно - проект таки ещё не помер. помер
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от пох. (?), 05-Июл-19, 07:23
	> пихать на прод альфу? ты б по ссылке пошел - наоборот. там написано "у меня тут еще не совсем уже но пока скоро готово для продакшн", и ссылка на этих лягушкозавров - типа, идите туда, а тут ловить нечего. В 5.3 он как раз и окуклился - и было это в 2010м.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:44
	Зачем на прод? Так, посмотреть.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	35. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:01
	Я у вас много свободного времени?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07
	Иногда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от пох. (?), 05-Июл-19, 07:21
	> Внезапно - проект таки ещё не помер. таки уже. ("уже" - лет десять тому настало, если не больше) Ну пошевелился покойничек, зачитал обращение к согражданам, а дальше - "воротился в свой чудной гроб и там испустил дух, да такой сильный, что иные попадали замертво". > предлагается попробовать для php >= 7.3 что говорит о том, что автор окончательно сдался и времени на войну с ветряными мельницами ему жалко - даже, как видишь, предлагает валить на конкурирующий проект с несовместимыми настройками, а не ставить свою "пре-альфу". Идеи у него, вишь, есть, а пороху программировать - нет. imho, выкрасить и выбросить - обоих. Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review, а чужим ты этой штукой просто все попереломаешь, причем в непредсказуемых местах. С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin)
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	29. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+1 +/–
	Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 09:44
	>>С банальщиной типа проверок стремных символов и тд справляется mod_security (причем лучше - апачевский - с nginx'овым примерно то же самое что вот с suhosin) О Боже, ещё один труп реинкарнировали? С nginx сей адъ течет, плюс реализация через одно место, не говорю уже про рулы, которые байпасят школьники
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+1 +/–
	Сообщение от пох. (?), 05-Июл-19, 10:27
	в том и дело, что апачевская версия 2 - вполне была живая и работающая (а если ты хостишь чужой хлам на пехепе - попытки делать это без апача только приведут к лишним неприятностям). неработающая третья, и это не труп, а выкидыш - он никогда живым и не был. Ну не умеют его разработчики без apr, не умеют. Заказ (или может даже грант) получили, кое-как отработали, довели проект до полуработающей беты на радость манагерам nginx.com, и бросили. А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать. Бешплатные такие же школьники и пишут, у них времени много.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от Sw00p aka Jerom (?), 05-Июл-19, 13:04
	>в том и дело, что апачевская версия 2 - вполне была живая и работающая согласен >А за правила надо - платить ;-) если, конечно, не хочется самому их изобретать. лучше школьникам заплатить за аудит кода, чем придумывать заплатки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от пох. (?), 05-Июл-19, 13:19
	да они тебе и бесплатно наудитят, в поисках чо бы поломать - а толку-то? Сам что-ли полезешь исправлять все эти магенты и вротпрессы пяти разных версий, размазанные по серверам? А так - дверь бревнышком подпер, и надеешься, что не поломают. В конце-концов, от совсем глупых школьников и типовых червей оно вполне помогало. А там либо горе-разработчик проснется, либо сервис объявят устаревшим и можно будет его наконец-то выпилить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 05-Июл-19, 09:52
	> Для своих девелоперов (если еще остались где, а не давно пишут на жабке-ээ и прочих джанках) проблема > решается воскресной поркой...зачеркнуто, coding style checks при коммите и code review Здесь, в общем, согласен. И еженедельным чтением PHP: The Right Way с отправкой избранных цитат на телефон ежедневно для утренних и вечерних медитаций. (Хотя жаба-то что, в упор не понимаю её хейтеров.)
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	34. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от пох. (?), 05-Июл-19, 10:30
	поадминистрил бы пару лет помойку, сделанную на resin - понял бы ;-) (кто не в курсе - это такой php, но жаба. ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 05-Июл-19, 16:07
	Нафига кто-то вздумал Resin ставить? Чем кошерный Tomcat не угодил? А этот ихний Quercus - адописное зло.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–1 +/–
	Сообщение от пох. (?), 05-Июл-19, 20:01
	✔ simple configuration you can copy & paste docs you can understand - чо непонятного-то? Оно, кстати, само по себе даже и не висло особо, в отличие от tomcat. Но и уровень кодеров - ну прямо как пехепе, только это еще и жаба, ничего по месту не поправить. Стопиццот jspшников методом ctrl-c/ctrl-v - simple же ж. "ой, память опять кончилась". > А этот ихний Quercus - адописное зло. по-моему они просто глумились - "пехепе на жабе мы уже в общем-то написали - давайте, прикола ради, еще и настоящий php интерпретировать, хрен ли там дел-то" хорошо еще хоть им быстро надоело, и дальше показательного запуска друпала дело не пошло, а то php7 мог и не родиться. Они вообще любили приколы: http://wiki4.caucho.com/NginX_1.2.0_versus_Resin_4.0.29_perf... - tomcat так сможет? (а, ну да - он просто повиснет и тест никогда не удатся провести до конца ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от IRASoldier_registered (ok), 05-Июл-19, 22:29
	>you can copy & paste docs you can understand Бл***
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+/–
	Сообщение от Аноним (27), 05-Июл-19, 08:38
	>> читай, OVH https://www.nbs-system.com/. Хотя вряд-ли это что-то меняет :-)
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	28. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–1 +/–
	Сообщение от пох. (?), 05-Июл-19, 09:38
	поменяет - отношение к OVH - они может и любят друг-друга по-хранцузски, но хоть пользователей не пытаются. А эти вот похоже - совсем в плахом смисле.
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	+1 +/–
Сообщение от Аноним (8), 04-Июл-19, 14:34
Теперь создавать IИDEX.рнр можно будет еще безопаснее
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–1 +/–
Сообщение от Аноним (10), 04-Июл-19, 15:03
Скажем дружно: нах@р нужно. Это не решение проблемы, а полумера - попытка угодить криворучкам и компенсировать потери от таковых.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Проект Snuffleupagus развивает PHP-модуль для блокирования у..."	–3 +/–
	Сообщение от пох. (?), 04-Июл-19, 17:45
	да какое там "угодить", он же ж все поломает к хренам. причем половина этих улучшизмов - какое-то феерическое ненужно, типа включения обязательной проверки сертификатов в curl (которое в седьмой версии и так включено, и приходится выключать)
	Ответить \| Правка \| Наверх \| Cообщить модератору