PHP 보안 전문가 Stefan Esser 가 PHP 프로젝트 팀에서 이탈하고, 드디어 PHP 보안 버그를 까발리기 시작 했다.
Stefan Esser 는 Security Focus 와의 인터뷰에서 그간 PHP 프로젝트 외부에는 잘 알려져있지 않던 PHP 의 참담한 보안 현실을 솔직하게 털어놓았고, 인터뷰어인 Federico Biancuzzi 가 상당히 인터뷰를 잘하는 느낌도 들고,
Stefan Esser 는 Hardend-PHP 프로젝트나 Suhosin, PHP 보안팀 설립후의 활동 등에 대해 간략히 언급한 후, 최근 이슈가 된 PHP 보안팀 사퇴 건에 대해 다음과 같이 언급했습니다.
흥미로운건 Hardend-PHP 프로젝트가 PHP 프로젝트 내의 프로젝트로 존재하지 않고, 별도의 프로젝트로 존재했던 것도 PHP 팀이 라이센스 문제를 걸고 넘어지면서 떨어져나가도록 종용한데 있었다는 사실입니다.
최근의 PHP 5 의 보안 상의 변화에 대해서는 긍정적이라고 언급하면서도, 이 변화로 인해 예전의 PHP 4 용 어플리케이션이 PHP 5 환경에서 보안 취약점에 노출되게 된다는 점도 빠뜨리지 않고 있군요.
Stefan Esser 가 야심차게 계획 중인 "Month of PHP bugs" 에 대해서는 'PHP 개발자들이 PHP 어플리케이션의 보안 문제가 심각한 것은 해당 어플리케이션 개발자들의 문제이지, PHP 자체는 매우 안전하게 설계되어 있다라고 주장하는데 이것이 개발자에 대한 기만임을 알리기 위해서'라고 말하고 있습니다.
인터뷰 말미에 국내외에서 블로그 용도로 많이 사용되는 WordPress 의 보안 설계에 문제가 많다고 언급한 점도 흥미롭군요.
꼭 한번 원문 전체를 읽어보시길 권해드립니다. PHP 개발자들이 PHP 의 보안 현황을 호도하기 위해 자신들은 몇가지 버그를 알고 있으면서도 'PHP 에는 절대 보안 버그가 없다'고 주장하는 부분을 읽을 때면 충격을 받게 됩니다.
그나 저나 Month of PHP bugs 인 올해 3월이면 국내외 PHP 어플리케이션 개발자들 난리나겠군요. 포털이나 웹 호스팅 업체들도 그렇구요. 1주일 정도 밖에 안남았는데, 제로데이 버그 31 개 중 20 개가 발표된다니...
참고로 5.2.1 이 발표 된지 얼마 되지 않아, Stefan Esser 씨가 5.2.1의 보안 버그를 신랄하게 비판하고 있군요.
관련 URL : http://blog.php-security.org/archives/71-Month-of-PHP-Bugs-and-PHP-5.2.1.html
출처 : http://swbae.egloos.com/1514856
꼬랑지.
WordPress 보안 설계 문제는 어제 오늘 문제도 아니었고, 계속적인 보안 이유가 제시 되었지만, 전부 묵살 당하고 있죠. 그래서 일부 WordPress 를 운영하는 이들이 일부 자체적으로 해결까지 하고 있는 상황이고 말이죠.
PHP Mailling List 를 볼때 한국이나 외국인들이나 그나물에 그밥으로 노는 경우를 참 많이 봤는데, 결국 Stefan Esser씨가 때려치고 나오면서 앞으로 PHP 가 어떤 방향으로 흐를지도 참 궁금 해지네요.
부디 Stefan Esser 가 의도하는 방향으로(그렇지 않더라도.. 내가볼땐 그런 방향인) 흘러 갔으면 좋겠군요.
PHP 프로젝트 팀에서 보다 보안 적인 이슈를 신경 쓰고 해결 하길 바랄뿐입니다.
그리고 Gentoo 내의 PHP 패키징 팀에서도 Stefan Esser 씨의 내용을 참고해서 자체적인 패치 패키징을 내놓기를 은근히 바랍니다. (직접 하려면 귀차나여... 아.. 귀차니즘..)
어쨌꺼나, 국내/외 에서 또 이문제로 한동안 엄청 시끄럽겠군요..
여기 뚤렸네.. 저기 뚤렸네..... 후후.. 국내에서도 IT사업한다는 사장님들도 보안에 좀더 신경 쓰는 시대가 오길 바라고, 자칭 SA,SE,NA,NE,Coder,Programer 분들도 좀더 보안 이슈에 신경 쓰길 바랄 뿐입니다.
Stefan Esser 는 Security Focus 와의 인터뷰에서 그간 PHP 프로젝트 외부에는 잘 알려져있지 않던 PHP 의 참담한 보안 현실을 솔직하게 털어놓았고, 인터뷰어인 Federico Biancuzzi 가 상당히 인터뷰를 잘하는 느낌도 들고,
Stefan Esser 는 Hardend-PHP 프로젝트나 Suhosin, PHP 보안팀 설립후의 활동 등에 대해 간략히 언급한 후, 최근 이슈가 된 PHP 보안팀 사퇴 건에 대해 다음과 같이 언급했습니다.
1. 보안 패치가 누구나 볼 수 있는 CVS에 올라가기 때문에 해커가 취약점을 손쉽게 파악할 수 있는 반면
2. 보안 패치가 반영되는 건 Major 릴리즈 때만이라 장기간 사용자가 위험에 노출되게 되고,
3. 보안 패치에 대한 테스트 케이스를 작성하지 않아서 같은 버그가 계속 발생한다던가, 패치가 보안 버그를 해결하지 못하는 경우도 많고,
4. 보안 패치의 품질이 매우 낮고
5. 보안 정보의 관리 체계가 없다
6. PHP 팀이 자꾸 인신공격하는 문제도 있고...
7. 자꾸 수준낮은 보안 전문가들이 PHP 보안 전문가인체 하는 것도 못봐주겄고...
흥미로운건 Hardend-PHP 프로젝트가 PHP 프로젝트 내의 프로젝트로 존재하지 않고, 별도의 프로젝트로 존재했던 것도 PHP 팀이 라이센스 문제를 걸고 넘어지면서 떨어져나가도록 종용한데 있었다는 사실입니다.
최근의 PHP 5 의 보안 상의 변화에 대해서는 긍정적이라고 언급하면서도, 이 변화로 인해 예전의 PHP 4 용 어플리케이션이 PHP 5 환경에서 보안 취약점에 노출되게 된다는 점도 빠뜨리지 않고 있군요.
Stefan Esser 가 야심차게 계획 중인 "Month of PHP bugs" 에 대해서는 'PHP 개발자들이 PHP 어플리케이션의 보안 문제가 심각한 것은 해당 어플리케이션 개발자들의 문제이지, PHP 자체는 매우 안전하게 설계되어 있다라고 주장하는데 이것이 개발자에 대한 기만임을 알리기 위해서'라고 말하고 있습니다.
인터뷰 말미에 국내외에서 블로그 용도로 많이 사용되는 WordPress 의 보안 설계에 문제가 많다고 언급한 점도 흥미롭군요.
꼭 한번 원문 전체를 읽어보시길 권해드립니다. PHP 개발자들이 PHP 의 보안 현황을 호도하기 위해 자신들은 몇가지 버그를 알고 있으면서도 'PHP 에는 절대 보안 버그가 없다'고 주장하는 부분을 읽을 때면 충격을 받게 됩니다.
그나 저나 Month of PHP bugs 인 올해 3월이면 국내외 PHP 어플리케이션 개발자들 난리나겠군요. 포털이나 웹 호스팅 업체들도 그렇구요. 1주일 정도 밖에 안남았는데, 제로데이 버그 31 개 중 20 개가 발표된다니...
참고로 5.2.1 이 발표 된지 얼마 되지 않아, Stefan Esser 씨가 5.2.1의 보안 버그를 신랄하게 비판하고 있군요.
관련 URL : http://blog.php-security.org/archives/71-Month-of-PHP-Bugs-and-PHP-5.2.1.html
출처 : http://swbae.egloos.com/1514856
꼬랑지.
WordPress 보안 설계 문제는 어제 오늘 문제도 아니었고, 계속적인 보안 이유가 제시 되었지만, 전부 묵살 당하고 있죠. 그래서 일부 WordPress 를 운영하는 이들이 일부 자체적으로 해결까지 하고 있는 상황이고 말이죠.
PHP Mailling List 를 볼때 한국이나 외국인들이나 그나물에 그밥으로 노는 경우를 참 많이 봤는데, 결국 Stefan Esser씨가 때려치고 나오면서 앞으로 PHP 가 어떤 방향으로 흐를지도 참 궁금 해지네요.
부디 Stefan Esser 가 의도하는 방향으로(그렇지 않더라도.. 내가볼땐 그런 방향인) 흘러 갔으면 좋겠군요.
PHP 프로젝트 팀에서 보다 보안 적인 이슈를 신경 쓰고 해결 하길 바랄뿐입니다.
그리고 Gentoo 내의 PHP 패키징 팀에서도 Stefan Esser 씨의 내용을 참고해서 자체적인 패치 패키징을 내놓기를 은근히 바랍니다. (직접 하려면 귀차나여... 아.. 귀차니즘..)
어쨌꺼나, 국내/외 에서 또 이문제로 한동안 엄청 시끄럽겠군요..
여기 뚤렸네.. 저기 뚤렸네..... 후후.. 국내에서도 IT사업한다는 사장님들도 보안에 좀더 신경 쓰는 시대가 오길 바라고, 자칭 SA,SE,NA,NE,Coder,Programer 분들도 좀더 보안 이슈에 신경 쓰길 바랄 뿐입니다.
'About > Computer' 카테고리의 다른 글
| 어떨결에 영입해버린 후지쯔 Lifebook P1610PRM (2) | 2008.07.13 |
|---|---|
| AudioTrak DR.DAC2 (0) | 2008.07.13 |
| Macbook.... (2) | 2006.11.20 |
| 어느 서버농장의 네버엔딩 스토리 #2 (2) | 2006.09.12 |
| 어느 서버농장의 네버엔딩 스토리 #1 (2) | 2006.09.12 |
