حبيت انقلكم الموضوع للافاده
http://www.ebnmasr.net/vb/showthread.php?postid=85827
و تحياتى،،،
| |
لغه php ليست امنه (ثغره قاتله)
حبيت انقلكم الموضوع للافاده
http://www.ebnmasr.net/vb/showthread.php?postid=85827
و تحياتى،،،
__________________
محمد مصطفى
الشريك العالمي العربي لهاك vBSEO و الدعم الفني الرسمي
عرض شراء الهاك مع اعدادات شاملة للمنتديات للـ S E O
فعّل الـ PHP Safe Mode + suexec وستصبح الثغرة عديمة المفعول
وين الثغرة!
للاستضافة المشاركة Shared Hosting يجب تفعيل الـ safe mode و عندها لا ثغرة و لا شي .
و للمواقع التي تأخذ السيرفر بالكامل ماني شايف أنو هالشي ثغرة !!!
لغة PHP ليست آمنة! يحب الكثيرون تكرار هذه العبارة من وقت لآخر، ليس لشيء ولكن لهواية جذب الأنظار وعلى وزن (الحياة على الأرض ليست آمنة) فيقول (عباس) "هذا سبق صحفي" ويقول (عتريس) "أنا اكتشفت هذا" ويقول (طمطم) "يا لك من عبقري"!!
اعذروني على البداية التهكمية، ولكني بلغت من الغضب أشده عندما قرأت هذا الموضوع وما تبعه، والله يعلم أن غضبي ليس للغة PHP وليس ضد فلان أو فلان، بل إني غضبت من هذا الاسلوب الذي يتبعه الكثيرون عندما تتقافز أمام أعينهم عبارة جذابة من مثل "تم اختراق موقع كذا" و "اكتشفت ثغرة في كذا"، ويأتي البعض ممن حباهم الله خيالاً خصباً ليضع قصة أو قصتين، ويضيف آخر كلمتين ترجمهما من موقع أجنبي دون حتى أن يعي معناها، ويستغلون عبارات التهويل اللغوي تارةً، وعبارات من مثل "لا يمكنني أن أشرح لكم لأنه شيء صعب على الأذهان" وعبارات من مثل "ليس عندي وقت كاف وإلا كنت طبقت ذلك"، وفي الأخير تكتمل الطبخة في منتدىً أو اثنين وتنتشر الإشاعة كالنار في الهشيم، ونفاجأ بمن يسألنا بعد بضعة أيام: "هل هي آمنة؟" أو نجد موضوعاً في منتدياتنا التي نشارك فيها يقول "هناك ثغرة خطيرة!".
أقول:
إن مثل هذه العبارات التي تتهم لغة كاملة مثلاً مثل لغة PHP أو غيرها لا يصح أن نأخذها من مجرد موضوع عابر كتبه فلان، أو تحدث عنه منتدى فلان، إنكم تتكلمون عن لغة برمجية، وإذا ما كان لشخص يحق له أن يقول ذلك فعليه أن يكون مبرمجاً متفهماً وليس هذا فحسب بل يجب أن يكون قد قرأ كثيراً وسأل كثيراً وبحث كثيراً، وإن كان فعلاً كذلك فالمبرمج لا يقول دون حقائق علمية واضحة، ولا يقول شيئاً غير مبني على طرق علمية منطقية، بل وعليه إثبات ذلك بطرق يفهمها الآخرين وعرض الأدلة بنفس الاسلوب.
وعندها سيخضع هذا الموضوع لنقاش يليق بهذا، وستظهر الحقيقة التي يؤكدها الاستنتاج المبني على هذا النقاش.
إن الشخص (أ) الذي يقول أنه "اكتشف ثغرة بلغة PHP نفسها" لم يكلف نفسه عناء الدخول إلى الموقع الرئيسي للغة PHP (علماً أنه يشك في أن php.com هو موقع رئيسي آخر)، ولو كان فعل لوجد أن الثغرة التي يتكلم عنها (دون حتى أن يبدو أنه يفهم ما هي) هي ثغرة مؤقتة ظهرت مع مفسر CGIالإصدار 4.3.0 (وليست اللغة نفسها)، وتم التخلص منها سريعاً مع الإصدار 4.3.1 بتاريخ 7 فبراير أي قبل ثلاثة شهور تقريباً من يومنا هذا. علماً أن هذا الثغرة لم تدم طويلاً وهي محدودة كما قلت على نمط CGI فقط أي أنها لا تشمل كل الأنظمة التي قامت بالتطوير إلى 4.3.0، هذا بالإضافة إلى أن هناك عوامل أخرى كثيرة تجعل تلك الثغرة عديمة الفائدة لهواة العبث.
ليس هذا فحسب، بل إنه يقول أنه وجد ثغرة في برنامج ما دون أن يبرر لماذا اعتبر هذه الثغرات هي ثغرة في لغة PHP نفسها!!!
وكتعليق أود أن أقول، لا يوجد شيء ما على وجه الأرض كاملاً، فالكمال لله وحده، وكل شيء من صنع البشر يحتمل وجود الخطأ، فلا يوجد موقع ما أو برنامج ما حصين مائة بالمائة، ولذلك عندما نجد خللاً ما فلا يعني ذلك نهاية العالم! ولا يعني ذلك بأن البرنامج فاشل! فقد يكون هذا الخلل نتيجة لظرف ما،
وقد يكون نتيجة مؤقتة.
وعندما نجد أن موقعاً تم اختراقه لأنه يستخدم برنامج منتديات vB فإن ذلك لا يعني أن لغة PHP غير آمنة!
مرة أخرى، أتمنى أن لا يتكرر مثل هذا دون أن يكون هناك ما يبرره وبإسلوب علمي منطقي لائق.
__________________
visualmind (at) php.net
أعتذر كثيراً عن غيابي من المشاركات والذي لن يطول أكثر إن شاء الله.
كلام صحيح 100%رد مقتبس من VisualMind
لغة PHP ليست آمنة! يحب الكثيرون تكرار هذه العبارة من وقت لآخر، ليس لشيء ولكن لهواية جذب الأنظار وعلى وزن (الحياة على الأرض ليست آمنة) فيقول (عباس) "هذا سبق صحفي" ويقول (عتريس) "أنا اكتشفت هذا" ويقول (طمطم) "يا لك من عبقري"!!
اعذروني على البداية التهكمية، ولكني بلغت من الغضب أشده عندما قرأت هذا الموضوع وما تبعه، والله يعلم أن غضبي ليس للغة PHP وليس ضد فلان أو فلان، بل إني غضبت من هذا الاسلوب الذي يتبعه الكثيرون عندما تتقافز أمام أعينهم عبارة جذابة من مثل "تم اختراق موقع كذا" و "اكتشفت ثغرة في كذا"، ويأتي البعض ممن حباهم الله خيالاً خصباً ليضع قصة أو قصتين، ويضيف آخر كلمتين ترجمهما من موقع أجنبي دون حتى أن يعي معناها، ويستغلون عبارات التهويل اللغوي تارةً، وعبارات من مثل "لا يمكنني أن أشرح لكم لأنه شيء صعب على الأذهان" وعبارات من مثل "ليس عندي وقت كاف وإلا كنت طبقت ذلك"، وفي الأخير تكتمل الطبخة في منتدىً أو اثنين وتنتشر الإشاعة كالنار في الهشيم، ونفاجأ بمن يسألنا بعد بضعة أيام: "هل هي آمنة؟" أو نجد موضوعاً في منتدياتنا التي نشارك فيها يقول "هناك ثغرة خطيرة!".
أقول:
إن مثل هذه العبارات التي تتهم لغة كاملة مثلاً مثل لغة PHP أو غيرها لا يصح أن نأخذها من مجرد موضوع عابر كتبه فلان، أو تحدث عنه منتدى فلان، إنكم تتكلمون عن لغة برمجية، وإذا ما كان لشخص يحق له أن يقول ذلك فعليه أن يكون مبرمجاً متفهماً وليس هذا فحسب بل يجب أن يكون قد قرأ كثيراً وسأل كثيراً وبحث كثيراً، وإن كان فعلاً كذلك فالمبرمج لا يقول دون حقائق علمية واضحة، ولا يقول شيئاً غير مبني على طرق علمية منطقية، بل وعليه إثبات ذلك بطرق يفهمها الآخرين وعرض الأدلة بنفس الاسلوب.
وعندها سيخضع هذا الموضوع لنقاش يليق بهذا، وستظهر الحقيقة التي يؤكدها الاستنتاج المبني على هذا النقاش.
إن الشخص (أ) الذي يقول أنه "اكتشف ثغرة بلغة PHP نفسها" لم يكلف نفسه عناء الدخول إلى الموقع الرئيسي للغة PHP (علماً أنه يشك في أن php.com هو موقع رئيسي آخر)، ولو كان فعل لوجد أن الثغرة التي يتكلم عنها (دون حتى أن يبدو أنه يفهم ما هي) هي ثغرة مؤقتة ظهرت مع مفسر CGIالإصدار 4.3.0 (وليست اللغة نفسها)، وتم التخلص منها سريعاً مع الإصدار 4.3.1 بتاريخ 7 فبراير أي قبل ثلاثة شهور تقريباً من يومنا هذا. علماً أن هذا الثغرة لم تدم طويلاً وهي محدودة كما قلت على نمط CGI فقط أي أنها لا تشمل كل الأنظمة التي قامت بالتطوير إلى 4.3.0، هذا بالإضافة إلى أن هناك عوامل أخرى كثيرة تجعل تلك الثغرة عديمة الفائدة لهواة العبث.
ليس هذا فحسب، بل إنه يقول أنه وجد ثغرة في برنامج ما دون أن يبرر لماذا اعتبر هذه الثغرات هي ثغرة في لغة PHP نفسها!!!
وكتعليق أود أن أقول، لا يوجد شيء ما على وجه الأرض كاملاً، فالكمال لله وحده، وكل شيء من صنع البشر يحتمل وجود الخطأ، فلا يوجد موقع ما أو برنامج ما حصين مائة بالمائة، ولذلك عندما نجد خللاً ما فلا يعني ذلك نهاية العالم! ولا يعني ذلك بأن البرنامج فاشل! فقد يكون هذا الخلل نتيجة لظرف ما،
وقد يكون نتيجة مؤقتة.
وعندما نجد أن موقعاً تم اختراقه لأنه يستخدم برنامج منتديات vB فإن ذلك لا يعني أن لغة PHP غير آمنة!
مرة أخرى، أتمنى أن لا يتكرر مثل هذا دون أن يكون هناك ما يبرره وبإسلوب علمي منطقي لائق.
__________________
System
خير ان شاء الله
كلامك اخ Visualmind صحيح 100%
يعطيك العافية
تستحق التقدير على كل كلمة كتبتها...
الله يزيدك علم ان شاء الله ويزيدنا معاك ويوفقك
أخي visual mind ممكن أسألك سؤال اذا سمحت؟
مين عباس وعتريس وطمطم؟؟؟؟؟
غباء مطقع
لاتصدق بس
__________________
يا نبض الضفة لا تهدأ أعلنها ثورة
حطم قيدك إجعل لحمك جسر العودة
كلام VisualMind صحيح 100%
وحتى لو اعتبرنا انه هذي ثغرة.. فالخطأ من صاحب السيرفر..
لأنه المفروض يخلي php في السيف مود ويحدد الـ Document Root ويهتم بسيرفره..
والثغرة الموجودة في منتدى ابن مصر منقولة من موقع عربي ثاني ناقلنها من موقع php الأصلي ومترجمنها
وعلى العموم.. الثغرات ما تكون من لغة البرمجة في الغالب.. تكون من صاحب السيرفر
__________________
ArabBB ... SoooooN!
أعجبتني فصاحتك واسلوبك الحواري يا Visual Mind ، زادك الله فصاحة وبلاغة ..
MrMaTriX، albaity آمين، وشكراً لكما
(albaity، أين أنت يا أخي؟)
almuslet، عباس وعتريس وطمطم لا تعني أحد، بل هي أسماء كاريكاتيرية (من المسلسلات التليفزيونية) استعرتها لأمثل ما يحدث بشكل ساخر.
__________________
visualmind (at) php.net
أعتذر كثيراً عن غيابي من المشاركات والذي لن يطول أكثر إن شاء الله.
ضوابط المشاركة
