mboost-dp1

PHP breach


Gå til bund
Gravatar #3 - arne_v
8. apr. 2021 15:41

The master.php.net system, which is used for authentication and various
management tasks, was running very old code on a very old operating system
/ PHP version, so some kind of vulnerability would not be terribly
surprising. We have made a number of changes to increase the security of
this system:

master.php.net was migrated to a new system (running PHP 8) and renamed
to main.php.net at the same time. Among other things, the new system
supports TLS 1.2, which means you should no longer see TLS version warnings
when accessing this site.
The implementation has been moved towards using parameterized queries,
to be more confident that SQL injections cannot occur.
Passwords are now stored using bcrypt.
Existing passwords were reset (use main.php.net/forgot.php to generate a
new one).

Previously, passwords were stored in a format compatible with HTTP Digest
authentication (essentially a plain md5 hash), which was required for HTTP
authentication on git.php.net and svn.php.net.


Så:
* outdated Linux version
* outdated PHP version
* outdated password hash algorithm
* outdated TLS version
* SQL streng konkatanering
Gravatar #4 - larsp
9. apr. 2021 06:24
Ikke godt for PHP's rygte. Det hjælper ikke på den umiskendelige "lugt" af buggy og støvet web 1.0 teknologi PHP synes at have.

Hvem ville ved deres fulde fem vælge PHP som sprog til et nyt projekt i dag?
Gravatar #5 - Claus Jørgensen
9. apr. 2021 07:01
#4

Ingen. Folk vælger ikke PHP til nyudvikling, de vælger PHP fordi deres systemer er bygget på en PHP løsning (Wordpress, Joomla, etc.)

Det er ligesom Java og COBOL, folk bruger det kun fordi de "allerede er i brug"

Gravatar #6 - arne_v
9. apr. 2021 14:25
larsp (4) skrev:

Ikke godt for PHP's rygte. Det hjælper ikke på den umiskendelige "lugt" af buggy og støvet web 1.0 teknologi PHP synes at have.


Hmmm.

PHP er vel Web 2.0 ??

https://en.wikipedia.org/wiki/Web_2.0#Characterist...

https://en.wikipedia.org/wiki/Web_2.0#Characterist...
Gravatar #7 - arne_v
9. apr. 2021 14:37
larsp (4) skrev:

Hvem ville ved deres fulde fem vælge PHP som sprog til et nyt projekt i dag?


Dem med PHP ekspertise.

Og dem er der mange af.

PHP er stadig ca. 80% af alle web sites.

Claus Jørgensen (5) skrev:
#4

Ingen. Folk vælger ikke PHP til nyudvikling, de vælger PHP fordi deres systemer er bygget på en PHP løsning (Wordpress, Joomla, etc.)


Og de kender dem.

Der er tilsvarende produkter i .NET, Java, Python etc..

Claus Jørgensen (5) skrev:

Det er ligesom Java og COBOL, folk bruger det kun fordi de "allerede er i brug"


Der er rigtigt meget inerti i programmeringssprog.

Cobol har ikke været et teknisk oplagt valg siden måske 1990. Men 30 år efter er der stadig kun en lille del der har migreret af Cobol - omend der er valgt andre sprog til nye typer af applikationer.

Java fik en vitaminindsprøjtning i form af en masse nye Java applikationer for big data infrastructure og Android apps. Så Java vil næppe være hvor Cobol er idag førend ca. 2050.
Gravatar #8 - arne_v
10. apr. 2021 01:21
arne_v (7) skrev:

PHP er stadig ca. 80% af alle web sites.


https://w3techs.com/technologies/history_overview/... siger:

PHP - 79.2%
ASP.NET - 8.8% (gammel web forms, nyere MVC)
Ruby - 4.4% (formentligt altsammen RoR)
Java - 3.4% (må være et mix af alt muligt: Struts 1, Struts 2, Spring MVC, JSF, JAX-RS etc.)
Scala - 1.8% (formentligt overvejende Play)
static - 1.5%
Python - 1.4% (Django?)
JS - 1.3% (formentligt overvejende node.js)
ColdFushion - 0.3% (old old old)
Perl - 0.1% (ditto)


Gravatar #9 - Claus Jørgensen
10. apr. 2021 07:16
#7

Men ingen vil vælge Java til nyudvikling på samme niveau som de ville vælge .NET til nyudvikling.

Kotlin erstatter også mere og mere af Java på Android (heldigvis, Java til Android er et mareridt)
Gravatar #10 - Claus Jørgensen
10. apr. 2021 07:18
#8

Rails er morsomt. Det er stort set umuligt at skalere rails løsninger (da jeg arbejde hos Zendesk var det en af deres største udfordringer)

Så RoR bliver typisk erstattet af nodejs løsninger nu om dage.
Gravatar #11 - arne_v
10. apr. 2021 19:18
#10

GIL og moderne CPU'er er ikke en god kombo.

Og der er ikke så mange Ruby brugere der vælger JRuby.
Gravatar #12 - arne_v
10. apr. 2021 23:37
Claus Jørgensen (9) skrev:
#7

Men ingen vil vælge Java til nyudvikling på samme niveau som de ville vælge .NET til nyudvikling.


Langt flere vælger Java end .NET.

Dem der bruger C# er glade for C#. Og jeg tror ikke at .NET har mistet markedsandele indenfor nogle markeder.

Men de markeder hvor .NET står stærkt er bare mindsket i betydning og markeder hvor .NET ikke står stærkt er vokset i betydning.




Gravatar #13 - Claus Jørgensen
11. apr. 2021 13:22
#12

Jeg sagde til nyudviklingen. Der er stort set ingen der laver nyudvikling i Java.

arne_v (12) skrev:
Men de markeder hvor .NET står stærkt er bare mindsket i betydning og markeder hvor .NET ikke står stærkt er vokset i betydning.
Ja, men det samme gælder Java.

Der er forhåbenligt mange Java udviklere som blev mobiludviklere i de sidste 5-10 år, men hvis de ikke har lært Kotlin nu så ender de med at blive arbejdsløse om et par år.
Gravatar #14 - arne_v
11. apr. 2021 17:35
Claus Jørgensen (13) skrev:
#12

Jeg sagde til nyudviklingen. Der er stort set ingen der laver nyudvikling i Java.


Masser.

Claus Jørgensen (13) skrev:

arne_v (12) skrev:
Men de markeder hvor .NET står stærkt er bare mindsket i betydning og markeder hvor .NET ikke står stærkt er vokset i betydning.
Ja, men det samme gælder Java.


Nej.

Big data
Markede: vokset kraftigt
OS: Linux
Sprog: Python og R til analyse, Java til infrastruktur.

Mobil telefoner og tabletter
Markede: vokset kraftigt
OS: Android og iOS
Sprog: Java/Kotlin (Android) og Objective-C/Swift (iOS). .NET Xamarin er niche.
[Kotlin ændrer ikke noget - det er grundliggende bare Java med 1/3 færre linier der skal skrives]

Low cost web (web scale, micro-services, container, cloud)
Markede: vokset kraftigt
OS: Linux
Sprog: PHP er størst. Næste niveau er Python, RoR, Node og Java (SpringBoot, Quarkus). .NET Core er niche.
[.NET Core/5 er faktisk en fremragende teknologi til dette markede, men Microsoft var for længe om at satse entydigt på det]

Enterprise backend (batch, message queues, 2PC etc.)
Markede: stabilt
OS: alt muligt (z/OS, i, AIX, Solaris, VMS, Linux, Windows)
Sprog: Cobol, C++ og Java.
[.NET er kun en mulighed på få af platformene og .NET har aldrig prioriteret dette markede]

Platform software (database servere, web servere, cache servere)
Markede: stabilt
OS: alle
Sprog: C/C++ og Java. Erlang, Go og .NET er niche.

Embedded
Markede: stabilt (capabilities er 1000 doblet)
OS: real time OS / Linux / intet
Sprog: C/C++. Rust og Ada er niche.
[GC sprog som Java og .NET duer ikke til real time]

High-end web (corporate & government internet og intranet løsninger)
OS: Linux og Windows. Solaris er niche.
Markede: mindsket noget (fordi der er sket et skift mod low-cost web)
Sprog: ASP.NET (web forms, MVC, CMS: Umbraco, SiteCore etc.), Java EE (JSF, Spring MVC, WebLogic, WebSphere, JBoss, CMS: AEM, Alfresco etc.).

Desktop apps
Markede: mindsket kraftigt (fordi der er sket et skift mod web og mobil)
Sprog: .NET (Win forms og WPF). C/C++ (MFC, Qt, GTK+), Delphi og Java (Swing, JavaFX) er niche.

Claus Jørgensen (13) skrev:

Der er forhåbenligt mange Java udviklere som blev mobiludviklere i de sidste 5-10 år, men hvis de ikke har lært Kotlin nu så ender de med at blive arbejdsløse om et par år.


Java til Kotlin er et ret nemt skifte. Rigtigt mange lighedstræk og samme platform.

C til C++, Objective-C til Swift og Fortran 77 til Fortran 9X har alle været større skift.

På mange måder skal man ikke tænke på Kotlin som et nyt sprog men snarere som en Java fork hvor man har droppet kompabilitets krav.
Gravatar #15 - Claus Jørgensen
12. apr. 2021 07:10
arne_v (14) skrev:
Java til Kotlin er et ret nemt skifte. Rigtigt mange lighedstræk og samme platform.

På mange måder skal man ikke tænke på Kotlin som et nyt sprog men snarere som en Java fork hvor man har droppet kompabilitets krav.
Alle Kotlin udviklere jeg har arbejde med er uenige med dig her

Og et Kotlin der er uafhænging af Java er helt klart Google's long term goal.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login