lek...

Thanks Aar... ik zou best graag hier op phphulp een soort "beveiligings" (sticky)topic willen hebben, waarin alle veiligheidslekken worden vermeld. Als je dan een lek tegenkomt, zou je die erop kunnen plaatsen, liefst ook met een oplossing erbij. Dan krijg je uiteindelijk een mooi chronologisch overzicht. Wellicht iets voor jullie om als moderators/team te bespreken?

Alle veiligheidslekken? Dat zijn er jaarlijks tienduizenden.

Tienduizenden :-s

Lijkt me sterk... ik bedoel dus algemene veiligheidslekken die betrekking hebben op een server/OS/PHP... ofwel... de lekken waar wij voor moeten oppassen.

Dat is een overdrachtelijk bedoeld rond getal, maar dat komt aardig in de richting. De telling van CVE's (Common Vulnerabilities and Exposures) staat op 64.260.

Ik begrijp wel wat je bedoelt: een checklist zou handig zijn. Maar dan nog is dat te groot en vooral te onoverzichtelijk (met allerlei opeenvolgende versies) voor één sticky topic.

Misschien heb je gelijk, maar het lijkt me wel handig dat je als programmeur af en toe even kunt checken of je niet iets gemist hebt. Het zou ook een heel simpel overzicht kunnen zijn, zoiets als:

24-09-2014: TYPE SERVER, OS CentOS, shell-lek, [link naar meer info]
26-09-2014: TYPE PHP, FUNCTIE preg_match, injectiegevoelig, [link naar meer info]

Dat vind ik wel een aardige!

Ken je het Open Web Application Security Project (OWASP)?
Die hebben onder andere een PHP Security Cheat Sheet.

Plus dat de discussies van de verschillende beveiligingslekken door elkaar kunnen lopen. Dan dacht ik meer aan een Beveiligingsforum.

Dat is ook weer waar.

We hebben hier onze handen al vol aan onvoldoende gecontroleerde $_POST's.

@Ward... volgens mij ooit eens tegengekomen, maar voor de zekerheid gelijk maar even gebookmarked ;)

@Aar... dat zou inderdaad ook nog een goed idee zijn. Alleen vind ik dan wel dat deze topics niet onder het kopje "FORUM BERICHTEN" (linksboven) moeten komen, want dan raken ze te snel uit het zicht. Maar bijv. onder een apart kopje "BEVEILIGING" (net zoals bij "REACTIES", "PHP SCRIPTS" en "PHP TUTORIALS").

Ozzie PHP op 26/09/2014 14:34:54

Misschien heb je gelijk, maar het lijkt me wel handig dat je als programmeur af en toe even kunt checken of je niet iets gemist hebt. Het zou ook een heel simpel overzicht kunnen zijn, zoiets als:

24-09-2014: TYPE SERVER, OS CentOS, shell-lek, [link naar meer info]
26-09-2014: TYPE PHP, FUNCTIE preg_match, injectiegevoelig, [link naar meer info]

Hiermee ben je dan eigenlijk reactief en ad-hoc bezig. Met zo'n werkwijze is je server-software binnen een jaar totaal verouderd. Het is zinvol om bijvoorbeeld maandelijks een update/upgrade uit te voeren waarbij onder andere al je libs/kernel e.d. worden bijgehouden waarna je aansluitend alleen nog maar reactief hoeft te reageren op nieuws zoals dit over bash. In alle gevallen is het handig om veel te leren op commandline level omdat je daar veel directer en sneller kan ingrijpen dan via paneeltjes. Ik vind zelf bijvoorbeeld phpadmin zo'n beetje de allergrootste ergernis die er is.