Jeroen C. Keet heeft kritiek op het artikel ‘Nieuw doelwit voor wormen’ (Sytse van der Schaaf, Computable, 7 januari 2005). Hij vindt dat php ten onrechte wordt aangevallen, omdat kwetsbaarheden voortvloeien uit onzorgvuldig programmeren, wat in elke taal kan gebeuren.
Graag wil ik opmerken dat het genoemde artikel een onterecht negatief beeld schetst over php. Deze taal zelf is niet de veroorzaker van de kwetsbaarheid, maar de programmatuur die geschreven is met deze taal. Je zou zelfs kunnen stellen dat het hele artikel overbodig is geweest, omdat dat voor elke (hogere) programmeertaal geldt.
In het artikel wordt phpbb genoemd als een veelgebruikt en kwetsbaar stuk programmatuur. Ook hier geldt dat dat niets met de technologie van php te maken heeft, maar alles met de opzet van phpbb zelf, te weten een kant-en-klaar te downloaden set aan in php ontwikkelde scripts.
Dat iedereen dat downloadt, toepast en vertrouwt, betekent niet dat het ook deugt, noch dat eventuele problemen aan php te wijten zijn. Het ligt aan het script zelf.
In php ben je in staat om het lokale bestandssysteem te manipuleren. Als je daar ondoordacht mee omspringt, kun je het script ‘voeden’ met parameters die het onbedoelde dingen laten doen.
Het artikel betreft voornamelijk de aanval op veelgebruikte php-scripts met daarin fouten. Santy zoekt, zoals Sytse al aangaf, naar bekende bestanden, zodat de worm weet met welke data hij het script moet voeden om met het lokale bestandssysteem aan de haal te kunnen gaan. Het script dus, en niet de php-engine/parser zelf. De engine voert gewoon uit wat het in opdracht van het script moet doen.
Doordacht programmeren
Ik ben zelf een groot liefhebber van php en php-scriptontwikkelaar en vindt het daarom jammer dat zo’n krachtige en laagdrempelige taal als php onterecht in een kwaad daglicht wordt gezet, terwijl de php-engine-ontwikkelaars hun uiterste best doen om dit op professionele wijze te voorkomen (en daarin slagen). De php-engine zelf is in C geschreven. Is C dan ook onveilig? Ik denk het niet, maar dat neemt niet weg dat je in C onveilige programma’s kunt schrijven. Ik maak me sterk dat de meeste virussen zelf in C worden geschreven!
Ik ben niet bang dat wormen als Santy mijn eigen scripts zullen misbruiken, zelfs al zou ik zelf ondoordachtheden introduceren. Ze vallen php immers niet aan, maar de scripts. Mijn scripts zijn niet downloadbaar (tenzij ik dat verkies) en dus qua inhoud onbekend.
Dat mensen netjes en doordacht moeten programmeren blijft zo – ook in php. Anders blijft het een gatenkaas.< BR>
Naschrift redactie: De heer Keet heeft gelijk. De bedoeling van Sytse van der Schaaf was niet zozeer om php als taal aan te vallen, als wel om de kwetsbaarheden in phpbb te signaleren.
Jeroen C. Keet, Systeembeheerder
