Den tyske säkerhetskonsulten Stefan Esser har bestämt sig för att varje dag i mars avslöja en sårbarhet i php. Esser är initiativtagare till PHP Security Response Team, vilket han nu lämnat, och Hardened-PHP Project. I en stor intervju med SecurityFocus diskuterar Esser bland annat vad han tycker om säkerhetsarbetet bakom PHP och säkerheten i PHP4 jämfört med PHP5. Fördelar anser han vara att PHP5 medger mer objektorientering, vilket gör koden lättare att läsa och det bör göra den mindre sårbar.

- I korthet tycker jag att PHP5 har fört med sig några saker som förbättrar säkerheten, men å andra sidan har det förändrat saker som kan föra med sig negativa sidoeffekter på gammal kod. Och självklart så är koden nu större och därför är fler buggar möjliga, säger Esser till SecurityFocus.

Esser avslöjar också att mars blir ”month of php bugs”. Begreppet ”month of bugs” dök upp i somras och innebär dagliga avslöjanden om sårbarheter i olika program eller system. Senast i januari var det ”month of Apple bugs”. Esser menar att PHP har väldigt dåligt rykte vad gäller säkerhet, och det vill han råda bot på.

- Målet är att visa folk och särskilt php-utvecklare att sårbarheter i php finns.

Flera olika typer av sårbarheter kommer avslöjas. De flesta buffertöverskridningar eller ”double free (/destruction)"-sårbarheter. En del av dem är angripbara på håll, andra endast lokalt. Bara sårbarheter som ingår i standardutbudet av php kommer att avslöjas.

Källa: SecurityFocus.