wie man sich erfolgreich dem Fortschritt widersetzt...
Die Lösung dafür ist eigentlich ganz einfach: man braucht nur genug Idioten, die zu blöd sind um zu merken, das sie mit ihrer Dummheit andere gefährden. Erstaunlicherweise zeigen sich dabei einige Parallelen zu politischen Themen, aber darauf will ich gar nicht hinaus. Es geht mir viel mehr um ein anderes Thema: um PHP. Genauer gesagt, um das dämlichste "Feature" von PHP überhaupt: register_globals. Für alle Nicht-PHP-Programmierer, hier noch mal in Kurzform, was das bewirkt.
Wenn man einen GET- oder POST-Request an ein PHP-Script schickt (was zB in einem Apache läuft), in welchem Bspw. als Parameter 'hallo=welt' übergeben wird, dann kann man in dem Script direkt auf die Variable $hallo zugreifen, welche dann den Wert 'welt' enthält. Werden nun allerdings in dem Script noch weitere Variablen verwendet, welche nicht explizit initialisiert werden (was bei den meisten PHP-Scripten der Fall ist, und IMO ein dreckiger Stil ist), dann kann ich diese Variable - sofern mir als Angreifer der Name bekannt ist - überschreiben.
Nun haben die PHP-Entwickler erkannt, das dies ein erhebliches Sicherheitsrisiko darstellt, und seit geraumer Zeit diese Option per default deaktiviert. Und was machen die Hoster: aktivieren es wieder, weil sich einige Kunden beschwert haben, das ihre Software auf einmal nicht mehr läuft. Und damit bringen sie alle anderen Kunden in Gefahr, bei denen die eingesetzte Software auch mit register_globals=off funktioniert, aber vielleicht bugs enthält, die erst dadurch ausgenutzt werden können das es on ist.
Da freut man sich doch richtig auf PHP6 - dort wird es dieses "Feature" nicht mehr geben, und die Hoster werden es deswegen auch nicht wieder aktivieren können. Allerdings sehe ich da ein anderes Problem kommen: es wird noch Jahrzehnte dauern bis die gängigen Hoster auf PHP6 umsteigen. Denn seit nunmehr über 2 (in Worten: zwei) Jahren ist die Version 5 von PHP raus. Und man muss immer noch mit der Lupe suchen, um einen Hoster zu finden, der dies standardmäßig anbietet! All-inkl z.B. bietet PHP5-Support nur auf explizite Nachfrage. Wenn sich nach zwei Jahren PHP5 noch immer nicht durchgesetzt hat - wie lange wird es wohl dauern, bis sich PHP6 durchsetzt (wenn es denn mal draußen ist)? Angesichts der Tatsache, das man dort kein register_globals mehr hat, mit Sicherheit doppelt so lange wie bei PHP5. Denn man muss es ja den ganzen Idioten recht machen, die immer noch auf Software setzen, die genau diese Funktionalität erfordert - ungeachtet der Tatsache, das diese Software mit absoluter Sicherheit so viele Sicherheitslücken enthält, das die Leute besser beraten wären ganz darauf zu verzichten.
...aber in der Politik, ist es ja genau so: dort fordern auch die größten Idioten eine "Antiterror-datei" und "Rundum-Überwachung" und "elektronische Fußfesseln für Arbeitslose und Sozialschmarotzer" und alles mit der Begründung, man habe ja nix zu verbergen! ...also ich habe was zu verbergen - und wenn es nur mein Schwanz ist.
...ich geh mich jetzt abreagieren.
Wenn man einen GET- oder POST-Request an ein PHP-Script schickt (was zB in einem Apache läuft), in welchem Bspw. als Parameter 'hallo=welt' übergeben wird, dann kann man in dem Script direkt auf die Variable $hallo zugreifen, welche dann den Wert 'welt' enthält. Werden nun allerdings in dem Script noch weitere Variablen verwendet, welche nicht explizit initialisiert werden (was bei den meisten PHP-Scripten der Fall ist, und IMO ein dreckiger Stil ist), dann kann ich diese Variable - sofern mir als Angreifer der Name bekannt ist - überschreiben.
Nun haben die PHP-Entwickler erkannt, das dies ein erhebliches Sicherheitsrisiko darstellt, und seit geraumer Zeit diese Option per default deaktiviert. Und was machen die Hoster: aktivieren es wieder, weil sich einige Kunden beschwert haben, das ihre Software auf einmal nicht mehr läuft. Und damit bringen sie alle anderen Kunden in Gefahr, bei denen die eingesetzte Software auch mit register_globals=off funktioniert, aber vielleicht bugs enthält, die erst dadurch ausgenutzt werden können das es on ist.
Da freut man sich doch richtig auf PHP6 - dort wird es dieses "Feature" nicht mehr geben, und die Hoster werden es deswegen auch nicht wieder aktivieren können. Allerdings sehe ich da ein anderes Problem kommen: es wird noch Jahrzehnte dauern bis die gängigen Hoster auf PHP6 umsteigen. Denn seit nunmehr über 2 (in Worten: zwei) Jahren ist die Version 5 von PHP raus. Und man muss immer noch mit der Lupe suchen, um einen Hoster zu finden, der dies standardmäßig anbietet! All-inkl z.B. bietet PHP5-Support nur auf explizite Nachfrage. Wenn sich nach zwei Jahren PHP5 noch immer nicht durchgesetzt hat - wie lange wird es wohl dauern, bis sich PHP6 durchsetzt (wenn es denn mal draußen ist)? Angesichts der Tatsache, das man dort kein register_globals mehr hat, mit Sicherheit doppelt so lange wie bei PHP5. Denn man muss es ja den ganzen Idioten recht machen, die immer noch auf Software setzen, die genau diese Funktionalität erfordert - ungeachtet der Tatsache, das diese Software mit absoluter Sicherheit so viele Sicherheitslücken enthält, das die Leute besser beraten wären ganz darauf zu verzichten.
...aber in der Politik, ist es ja genau so: dort fordern auch die größten Idioten eine "Antiterror-datei" und "Rundum-Überwachung" und "elektronische Fußfesseln für Arbeitslose und Sozialschmarotzer" und alles mit der Begründung, man habe ja nix zu verbergen! ...also ich habe was zu verbergen - und wenn es nur mein Schwanz ist.
...ich geh mich jetzt abreagieren.