C'è qualche possibilità che gli sviluppatori PHP stessi implementino backdoor nel core PHP?

6

Questa non è una preoccupazione che personalmente ho, no! Nel mio ambiente di lavoro ho sentito da programmatori e non programmatori che gli sviluppatori PHP mettono sempre backdoor segrete in PHP a cui nessuno ha accesso se non se stessi, quindi se un progetto diventa attivo e diventa un grande progetto possono fare tutto quello che vogliono con esso , come rubare beni aziendali ecc.
Anche se rispetto a tutti gli sviluppatori PHP su php.net e altri, vorrei solo sapere le tue opinioni.

P.S: come alcuni virus incluso Starex che sono stati abilitati da un'azione specifica.

    
posta ALH 18.05.2012 - 03:27
fonte

4 risposte

9

Backdoor scoperto su base abbastanza regolare . Questo non è assolutamente qualcosa di unico per PHP e può accadere per una serie di motivi. I progetti open source non sono totalmente immuni dal momento che il codice può essere abbastanza subdolo , tuttavia questo non è qualcosa che riguarda solo l'open source progetti

Ad esempio, Horde (php) è stato violato e l'attaccante ha introdotto una backdoor , ma la stessa cosa è successa a VSFTP (C / C ++) . A volte il produttore di software inserisce intenzionalmente una backdoor nel proprio codice. Si ritiene che questo sia successo a i sistemi SCADA di RuggedCom , che è closed source.

I worm possono contenere una backdoor. Ad esempio, MyDoom era un worm di posta elettronica che si espandeva e apriva una porta che consentiva l'esecuzione del codice. Successivamente un worm chiamato DoomJuice si è diffuso usando la backdoor di MyDoom . Anche le verità della famiglia di bot IRC PhatBot / AgoBot si sono diffuse salvadanaio sulla backdoor di MyDoom permettendo a qualsiasi adolescente con un compilatore C ++ di sfruttarlo.

È facile ignorare incautamente una routine di servizi igienici, chi può dire che sia una backdoor?

    
risposta data 18.05.2012 - 03:38
fonte
4

PHP è considerato un linguaggio insicuro da sviluppare non a causa di backdoor segrete messe in piedi dagli sviluppatori del linguaggio PHP, ma perché inizialmente è stato sviluppato senza sicurezza come preoccupazione principale e rispetto ad altri linguaggi / framework web è difficile da sviluppare in modo sicuro in esso.

Ad esempio, se si sviluppa un'applicazione web LAMP / LAPP (linux + apache + mysql / postgresql + PHP), è necessario codificare manualmente i servizi di input / output per prevenire l'SQL injection / XSS / CSRF, assicurarsi che non ci siano chiamate sottili a eval codice fornito dall'utente (come in preg_replace con un '/ e' che termina l'argomento regexp), gestisci in modo sicuro i file caricati, assicurati che le password degli utenti siano hashed in modo sicuro (non in chiaro), i cookie di autenticazione non sono accessibili , sicuro (https) e solo http, ecc.

La maggior parte dei moderni framework web semplifica molti di questi problemi eseguendo la maggior parte di queste cose in modo sicuro (o inizialmente facendole precariamente e ottenendo aggiornamenti sicuri).

Il rischio che ci sia una backdoor segreta in un PHP open source è piccolo; e il rischio è presente in ogni pezzo di software (windows / linux / apache / nginx / IIS / postgresql / oracle) che usi - sia open source che closed-source. Quelli open-source hanno almeno il vantaggio che molti occhi indipendenti lo guardano sempre e potresti esaminarlo se lo volessi.

Nota anche, in linea di massima, anche dopo aver esaminato completamente il codice sorgente e non aver trovato backdoor e aver esaminato completamente il codice sorgente del compilatore (non trovando backdoors), se poi ricompilate il compilatore (bootstrap usando qualche compilatore non attendibile) e quindi compila il codice sorgente sicuro con il compilatore "sicuro" appena compilato, il tuo codice eseguibile potrebbe ancora avere backdoor portati dall'utilizzo del compilatore esistente non affidabile per compilare il nuovo compilatore. Vedi Riflessioni su Trust Trust di Ken Thompson. (Il modo in cui questo è difeso in pratica è utilizzando molti compilatori indipendenti e oscuri da più fonti per compilare qualsiasi nuovo compilatore e quindi confrontare l'output).

    
risposta data 18.05.2012 - 16:56
fonte
1

Come sviluppatore PHP, so che mettere backdoor è molto semplice se lo sviluppatore lo vuole o è spesso implementato involontariamente se lo sviluppatore non si preoccupa della sicurezza e ricorda che esiste più tardi.

    
risposta data 18.05.2012 - 15:33
fonte
1

Qualcosa del genere potrebbe essere possibile, ma sarebbe scoperto in un progetto open source nel tempo. PHP è open source e puoi sfruttare i vantaggi. Se hai paura delle backdoor, scarica la fonte, leggila e compila tu stesso. Inoltre, ti suggerisco di usare i pacchetti dalla tua distribuzione. Il manutentore del pacchetto php troverà una tale backdoor in upstream. Se non ti fidi del tuo maintainer, scarica il codice sorgente e leggilo prima di compilarlo da solo.

Chiedi a queste persone la posizione della backdoor. Se sono così sicuri che php è backdoor, non dovrebbe esserci un problema per mostrarti le linee di codice.

    
risposta data 18.05.2012 - 15:58
fonte

Leggi altre domande sui tag