1. Trang chủ
  2. Câu hỏi và trả lời
  3. Tại sao Suhosin không phải là một phần của lõi PHP?

Tại sao Suhosin không phải là một phần của lõi PHP?

2009-02-20 20 views
12

Có vẻ như các bản vá lỗi của Suhosin và mở rộng lõi PHP như một phương tiện để bảo vệ người dùng khỏi những sai sót trong lõi. Nó cũng có vẻ như một số người thông minh đang sử dụng hệ thống này. Vì nó có vẻ là một điều tốt, tôi tò mò là tại sao nó không phải là một phần của lõi PHP để bắt đầu. Có ai biết không?Tại sao Suhosin không phải là một phần của lõi PHP?

Cập nhật: Dường như một số bản phân phối của Linux cũng đóng gói PHP với Suhosin theo mặc định. Điều này có vẻ đúng với Debian (ít nhất là Lenny) và Arch Linux. Bất kỳ bản phân phối nào khác gói PHP với Suhosin theo mặc định?

Nguồn

2009-02-20 fuentesjr

+0

Tôi nhận ra đây là một bài đăng rất cũ, nhưng nó vẫn là một trong những lần truy cập xếp hạng hàng đầu khi bạn tìm kiếm trên Google về nội dung liên quan đến RHEL/Suhosin. Tính đến năm 2012, Arch Linux và Debian dường như đã bán phá giá Suhosin. Nguồn: https://pierre-schmitz.com/php-5-4-1-in-suhosin-out/ và http://news.php.net/php.internals/57610 – zeitgeist

Trả lời

16

Một trong những kẻ chính đằng sau Suhosin là Stefan Esser. Stefan dường như đã có sự bất đồng liên tục với các nhà phát triển cốt lõi PHP với regard to security trong vài năm qua. Ông cũng là một trong những kẻ đứng sau số month of PHP bugs được dự định để thu hút sự chú ý đến (theo ý kiến ​​của Stefan) trạng thái buồn của bảo mật lõi PHP.

Cho rằng những kẻ Suhosin đã quyết định đi theo con đường của riêng mình và làm việc bên ngoài dự án PHP, tôi có thể tưởng tượng rằng:

  • Có thể là Suhosin chưa được góp lại để đưa vào.
  • Các chàng trai Suhosin đã không thể thuyết phục nhóm PHP về tính hữu ích của nó, hoặc chưa thử.
  • Nhóm PHP cốt lõi không mở để đóng góp từ những kẻ đứng đằng sau Suhosin.

Một số bản phân phối Linux như Debian (Etch và Lenny), Ubuntu và Arch bao gồm bản vá Suhosin trong gói PHP, vì vậy trên hệ thống bạn thường thấy nó được bật theo mặc định. Các bản phân phối có nguồn gốc từ Red Hat (Red Hat Enterprise, CentOS, Fedora, vv) không bao gồm Suhosin trong các gói PHP của chúng.

Lưu ý: Tôi không liên kết với các nhà phát triển PHP lõi hoặc Suhosin, nhưng phỏng đoán hợp lý dựa trên một số tính cách liên quan.

Nguồn

2009-02-20 23:41:30

0

Tôi tự hỏi họ đã đóng góp mã của họ trở lại vào dự án php chính chưa?

Đây thường là cách mã mới được tích hợp vào các dự án nguồn mở.

Nguồn

2009-02-20 09:29:11

1

tôi sẽ đoán những lý do chính cho đội php không bao gồm Suhosin là:

  • Nó có thể phá vỡ hiện mã (nặng bằng văn bản) php
  • Nó có thể phá vỡ (nặng bằng văn bản) phần mở rộng php (I nhớ Zend Optimizer đang có vấn đề)

Nguồn

2009-02-20 09:30:22 d0k

+0

Bản vá Suhosin tương thích nhị phân với bản phát hành PHP gốc, vì vậy những kẻ Suhosin yêu cầu khả năng tương thích hoàn toàn với tất cả các phần mở rộng (bao gồm cả Zend Optimizer). Về lý thuyết, nó không nên phá vỡ bất cứ điều gì mà không có vấn đề an ninh. –

+1

@Jim - Đây là PHP mà chúng ta đang nói đến. Tôi chắc chắn có rất nhiều mã xấu ở đó với các vấn đề bảo mật nghiêm trọng. –

Các vấn đề liên quan

 Các vấn đề liên quan