Ayuda en bajada de phishing (sertotal.cl)

Alvaro Herrera alvherre en alvh.no-ip.org
Mie Dic 20 01:06:43 CLST 2006


Rodrigo Fuentealba escribió:
> El 19/12/06, Alvaro Herrera<alvherre en alvh.no-ip.org> escribió:
> >Arturo Mardones escribió:
> >
> >> Ahora sobre el tema de seguridad, que por cierto me preocupa pues
> >> estoy proximo a sacar algunas paginas web en la empresa... alguien
> >> sabe que tan "facil" o mejor dicho, que nivel de conocimientos hay que
> >> tener para hacer pishing en apache, esto varia mucho entre 1.3 o 2.
> >> Que pasa con IIS 5 o 6? es mas facil o dificil hacer estas maldades?
> >
> >Si tienes sistemas en PHP, "all bets are off" ...  No es que no se
> >puedan hacer en otros sistemas, solo que PHP es horriblemente peor.
> >(Se descubren problemas en sistemas hechos en PHP a cada rato).
> 
> oh oh... presiento que con este thread llegamos a los 300.

300 fueron los guerreros espartanos que defendieron las Termopilas ante
el ataque de los persas ... te referias a eso?

> PHP es asegurable. Lee sobre Stefan Esser, algo que el 99.95% de los
> phperos no hace...

Ja.  Busque en Google y llegue a su blog, la primera entrada del cual
dice

	I was quite amused today when I saw a commit to the Zend Engine
	by Dmitry Stogov. With this commit PHP now has a safe unlink
	protection, a technique originally created by me for the glibc
	heap implementation in 2003, that was also ripped by Microsoft
	for XP-SP2. Basically the whole commit is a rip-off of a memory
	manager protection similiar to the one in Suhosin. A protection
	that was always considered a no-no for vanilla PHP while I was
	among the PHP Security Response Team.

	Yeah, well you do not need to be Harry Potter to guess what Zend
	is trying to do with this commit and why it is commited now.
	Fact is, that the people behind this patch have obviously not a
	security background and therefore it is not a suprise that the
	implementation violates several DONOTS that exist for heap
	protections. It is less secure than the one in Suhosin and
	therefore it is quite likely that I will have to completely
	remove the code from this commit in future versions of our
	patch.

Creeme que el nivel de confianza que me da sobre PHP es enorme,
aproximadamente similar (bueh, quizas un poco menor) a la cantidad de
veces que he visto camellos pasando por ojos de agujas.

En todo caso mi punto se mantiene.  De que sirve que haya un PHP
"mejorado" para seguridad (Suhosin) si realmente el problema es el PHP
"de vainilla" que esta lleno de pifias y que miles de monos en Internet
usan para escribir software que la gente instala en sus sistemas sin
tener idea de las implicancias?

-- 
Alvaro Herrera                               http://www.PlanetPostgreSQL.org/
"Prefiero omelette con amigos que caviar con tontos"
                                                  (Alain Nonnet)


Más información sobre la lista de distribución Linux