Die freie Scriptsprache PHP ("PHP Hypertext Preprocessor") ist auf die Entwicklung von Webapplikationen ausgelegt und erfreut sich auf Grund einfacher Syntax und flacher Lernkurve recht großer Beliebtheit. Hinzu kommt die Anbindung an zahlreiche Bibliotheken, durch die sich PHP um zahlreiche Funktionen erweitern lässt. Ursprünglich entwickelt wurde PHP von Rasmus Lerdorf, heute kümmern sich aber zahlreiche Entwickler im Rahmen der PHP Group um die Open-Source-Software, den Kern steuert mit der Zend Engine die Firma Zend bei.
Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.
Von
Hanno Böck
Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.
Ein Bericht von
Hanno Böck
Für eine Stellenanzeige hat sich der Bundesnachrichtendienst etwas Besonderes ausgedacht: eine Forensik Challenge, bei der Interessierte ihre Fähigkeiten testen können. Damit Golem.de-Leser, die sich beim BND bewerben wollen, es etwas leichter haben, haben wir die Challenge gelöst.
Von
Hanno Böck
In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-Lücke gefunden. Bislang gibt es nur spärliche Details. PHPMailer wird von vielen Webapplikationen wie Joomla genutzt.
Die Version 7.1 der Programmiersprache PHP bringt neue Funktionen, die so ähnlich auch in vielen anderen Sprachen bereits genutzt werden können. Dazu gehören optionale Nullwerte, der Void-Rückgabewert und Zugriffskontrollen auf Klassenkonstanten über public und private.
Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.
Von
Hauke Gierow
Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.
Der Fehler in der Bildbearbeitung Imagemagick wird offenbar aktiv ausgenutzt. Die Sicherheitslücke wurde bereits kurz nach der Entdeckung publiziert, viele Serverbetreiber haben offenbar noch nicht gepatcht.
Version 7 des populären PHP-Interpreters ist erschienen. Mit diesem Release wird die Skriptsprache vor allem deutlich schneller und gleichzeitig sparsamer im Speicherverbrauch.
Von
Benjamin Eberlei und Kore Nordmann
Das beliebte Blog-CMS Wordpress bekommt eine neue Verwaltungsoberfläche. Viele Nutzer dürften sie aber aufgrund der technischen Anforderungen kaum nutzen können - oder mangels neuer Funktionen nutzen wollen.
Einem Angreifer ist es gelungen, den Inhalt der Datenbank der Webseite des Generalbundesanwalts herunterzuladen. Der Angriff dürfte eine Reaktion auf die Ermittlungen gegen Netzpolitik.org darstellen.
Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.
Das Entwicklerteam von PHP hat eine erste Alphaversion seiner neuen Sprachgeneration veröffentlicht. Darin enthalten sind auch kontrovers diskutierte Funktionen. Noch können aber Neuerungen hinzukommen.
Mit PHP 7 können skalare Typen wie Int oder Bool deklariert werden. Das hat das Entwicklerteam nach langer Diskussion und dem Ausscheiden der ursprünglichen Entwicklerin entschieden.
Zend hat eine experimentelle JIT-Engine für PHP veröffentlicht. Gepflegt werden soll sie vorerst nicht, konkrete Ziele gibt es dafür ebenso wenig. Dasselbe Konzept wird aber auch in Facebooks HHVM genutzt, um die Sprache zu beschleunigen.
Nach PHP bekommt nun auch der von Facebook initiierte Dialekt Hack eine Sprachspezifikation. Das ermöglicht eine Übersicht über die Unterschiede der Sprachen und sogar eine unabhängige Implementierung.
Andrea Faulds, maßgeblich an der Entstehung von PHP 7 beteiligt, steigt aus der Entwicklung aus. Damit werden einige neue Funktionen, vor allem die skalare Typisierung, vorerst nicht gepflegt.
Fosdem 2015 Das kommende PHP 7 wird viele bestehende Installationen und Erweiterungen kaputtmachen, die Sprache aber auch wesentlich beschleunigen. Das zeigt ein Ausblick auf der Fosdem. Großen Anteil daran hat Facebook - allerdings anders, als zu erwarten wäre.
Die Wikipedia nutzt nun die HHVM von Facebook zum Ausführen von PHP, was die Seite wesentlich beschleunigt. Die Entwickler geben einen Einblick in die notwendigen Umbauarbeiten.
Die neuen Hashtabellen in PHP reduzieren den Speicherbedarf für Arrays deutlich, was auch die Leistung der Sprache steigert. Die finale Veröffentlichung ist für den Herbst nächsten Jahres geplant.
Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.
Die neue Version 5.6 der Skriptsprache PHP enthält variadische Funktionen, neue Operatoren, Importmöglichkeiten für Funktionen und Konstanten sowie einen interaktiven Debugger und Verbesserungen am SSL-Stack.
Auf Betreiben von Facebook bekommt die Programmiersprache PHP eine offizielle Spezifikation. Die bisherige Dokumentation reicht Facebook offenbar nicht für die Hiphop Virtual Machine.
Die Entwickler von Menalto Gallery kündigen das Ende des Projekts an. Die PHP-Software galt als Standardtool für Bildergalerien im Netz. Gallery steht unter der GPL und kann somit geforkt werden.
Der Next-Generation-Entwicklungszweig von PHP (PHPNG) beschleunigt Anwendungen um bis zu 30 Prozent. Das Team stellt nun aber klar, das PHPNG nur der Startpunkt einer weiterführenden Entwicklung sei.
Mit einer neuen PHP-Engine sollen Anwendungen um bis zu 30 Prozent schneller arbeiten. Dafür sorgen Änderungen an der internen Datenrepräsentation sowie an der VM.
Facebook hat seine PHP-basierte Programmiersprache Hack offiziell als Open Source allgemein verfügbar gemacht. In der PHP-Community dürfte die Sprache eine lebhafte Diskussion auslösen.
Seit vier Jahren arbeitet Facebook bereits an HHVM, kurz für Hiphop Virtual Machine for PHP. Die aktuelle Version 2.3 ist mittlerweile mit zahlreichen PHP-Frameworks kompatibel, unterstützt FastCGI und ist bei Wordpress um ein Vielfaches schneller als das Standard-PHP.
Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.
Nach der Veröffentlichung von PHP 5.5 wird PHP 5.3 noch mindestens ein Jahr unterstützt. Dennoch lohne sich ein Upgrade, denn aktuelle Versionen seien leistungsfähiger, schreibt PHP-Entwickler Johannes Schlüter.
Der Opcode-Cache und Code-Optimierer Zend Optimizer+ wird in PHP 5.5 integriert und damit künftig ein fester Bestandteil der Scriptsprache sein.
Zends Opcode-Cache steht ab sofort als Open Source zum Download bereit. Die Software beschleunigt die Ausführung von PHP-Programmen.
Der Entwicklungszyklus von PHP 5.5 geht mit der Veröffentlichung einer ersten Alpha in die Endphase. Die Entwickler hoffen auf reges Feedback aus der Community. Der Quellcode liegt offen im Git-Verzeichnis des Projekts.
Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.
Das als Standardbibliothek für PHP angelegte Zend Framwork ist in der Version 2 erschienen. Der Kern des Zend Frameworks wurde vollständig umgeschrieben, die Lizenz geändert und auch das Projekt neu organisiert, um der Community mehr Einfluss zu verschaffen.
Der Webentwickler von Hertzen hat PHP in Javascript nachgebaut, so dass PHP-Code direkt im Browser oder unter Node.js ausgeführt werden kann.
Das Fedora-Team hat für zahlreiche Hardware mit ARM-basierten Chipsätzen Images des Linux-Betriebssystems veröffentlicht, darunter das Pandaboard. Eine Version für das Raspberry Pi gibt es indes noch nicht.
Die ASP.Net-Komponenten Web API und Web Pages hat Microsoft unter die Apache-Lizenz 2.0 gestellt und den Sourcecode auf Codeplex veröffentlicht. Auch externe Entwickler sollen an der Weiterentwicklung beteiligt werden.
Knapp drei Jahre nach PHP 5.3.0 wurde nun PHP 5.4.0 veröffentlicht. Die neue Version enthält zahlreiche neue Funktionen und Fehlerkorrekturen sowie neue Spracheigenschaften.
Code aus Open-Source-Projekten ist einer Studie zufolge durchschnittlich von besserer Qualität als der aus ähnlichen proprietären Projekten. Die Resultate hat Coverity mit seiner Testplattform ermittelt.
Nach einem Einbruch auf die FTP-Server des Horde-Projekts weisen dessen Entwickler darauf hin, dass drei ihrer PHP-basierten Produkte mit einem Backdoor-Programm infiziert wurden. Dadurch lassen sich Anwendungen aus der Ferne angreifen.
Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.
Das Steering-Komitee des Fedora-Projekts hat weitere Komponenten festgelegt, die in Fedora 17 alias Beefy Miracle eingebaut werden. Darunter ist die kommende Version 2.8 der Bildbearbeitung Gimp mit dem Ein-Fenster-Modus.
Das freie PHP-basierte Framework Limbas 2.3 zum Erstellen von Datenbankanwendungen unterstützt Microsoft SQL. Außerdem werden Feldtypen flexibler gehandhabt.
Das aktuelle PHP 5.3.9 enthält einen Bugfix, der DoS-Angriffe über Hash-Kollisionen verhindern soll. Außerdem wurden zahlreiche Änderungen am FastCGI Process Manager vorgenommen.
Im Tiobe-Index der beliebtesten Programmiersprachen für 2011 befindet sich Java erneut auf dem ersten Platz. Den größten Zuwachs hat dem Index zufolge Objective-C, gefolgt von C#.
28C3 Durch Hash-Kollisionen können Webserver lahmgelegt werden. Betroffen sind fast alle Webserver etwa mit PHP, ASP.Net und Java. Die Kollisionen können durch POST-Abfragen ausgelöst werden.
Facebook hat mit der Hiphop Virtual Machine und Hiphop Bytecode einen JIT-Compiler für PHP entwickelt, der bei Facebook bereits im Einsatz ist. Die Lösung soll die Vorteile statisch kompilierten Codes mit denen eines Interpreters vereinen.
Das PHP-Team hat Version 5.4 in Form eines ersten Release Candidate veröffentlicht. PHP 5.4 RC1 soll vor allem zum Testen dienen. Neue Funktionen soll es nicht mehr geben.
Mit dem Framework CakePHP 2.0 lassen sich nun auch native Funktionen von PHP 5 nutzen. Neue Bibliotheken und verbesserte Funktionen sollen die Entwicklung vereinfachen.
Zeev Suraski gründete zusammen mit Andi Gutmans das Unternehmen Zend Technologies, das Produkte rund um PHP anbietet, sich aber auch stark an der Entwicklung der freien Scriptsprache beteiligt. Suraski war maßgeblich an der Entwicklung von PHP 4 beteiligt, ist für einige PHP-Erweiterungen verantwortlich und heute zusammen mit Gutmans Co-CTO von Zend. Golem.de sprach in diesem ersten Teil unserer Interviews mit ihm über die Eclipse PHP Development Tools (PDT), Zends Kooperation mit Microsoft und das nahende Ende von PHP 4.
Zend hat seine PHP-Distribution Zend Core überarbeitet, die mit der neuen Version 2.5 eine einheitliche Plattform über verschiedene Betriebssysteme hinweg bieten soll. Zugleich veröffentlichte Zend eine Beta-Version seiner Entwicklungsumgebung Zend Studio for Eclipse, die auf Eclipse PDT basiert.
Drei Jahre nach dem Erscheinen von PHP 5 wurde nun das offizielle Ende von PHP 4 angekündigt. Zum Jahresende stellen die PHP-Entwickler ihre Unterstützung für PHP 4 ein, dann wird es dafür keine offiziellen Updates mehr geben.
Der Diascanner Rollei DF-S 190 SE ist eine 9-Megapixel-CMOS-Kamera in einem Gehäuse und besitzt den richtigen Abstand zu einem Dia oder einem Negativ, um es bildfüllend abzulichten. Dadurch soll die Bilderfassung wesentlich schneller gehen als mit einem herkömmlichen Diascanner.
(Diascanner)
Der Softwareentwickler Pete Lamonica hat mit Siri Proxy eine Software entwickelt, die es ermöglicht, Apples Sprachsteuerung um zusätzliche Funktionen zu erweitern. Lamonica zeigt, wie er das Thermostat seiner Heizung mit Siri steuert.
(Iphone 4s Befehle)
Microsoft hat neue Anwendungen für seinen Cloud-Speicherdienst Skydrive vorgestellt, die nicht nur mit Windows, sondern auch unter Mac OS X Lion laufen. Gleichzeitig wird Neueinsteigern nur noch 7 GByte kostenloser Speicherplatz geschenkt. Vormals waren es 25 GByte.
(Skydrive)
Wie angekündigt, hat Microsoft Windows 8 heute zum Download freigegeben. Abonnenten von MSDN und Technet können das neue Betriebssystem ab sofort herunterladen.
(Windows 8 Download)
Ein 11,6 Zoll großer Touchscreen, lange Laufzeiten und Kompatibilität zu allen Windows-Programmen - die Erwartungen an Intels neue Plattform Clover Trail für Windows 8 sind groß. Der Smart PC XE500T1C von Samsung erfüllt sie jedoch nur zum Teil.
(Samsung Ativ)
Sony wird den Nachfolger der Playstation 3 am 20. Februar 2013 in New York vorstellen und hat entsprechende Einladungen verschickt. Auf Youtube hat Sony zudem einen kurzen Teaser veröffentlicht.
(Playstation 4)
Parrot hat für die AR.Drone 2.0 ein GPS-Modul zum Nachrüsten vorgestellt, mit dem der Kurs des Quadcopters über eine Karte vorgegeben werden kann. Die Drohne fliegt diesen dann filmend ab.
(Ar Drone 3.0)
PHPE-Mail an news@golem.de
