Due notizie a pochi giorni di distanza: uno degli esperti di sicurezza lascia il team di sicurezza di sicurezza di PHP, e il NIST lancia l’allarme sul numero di applicazioni PHP vulnerabili (ok, non sono notizie proprio fresche, ma sono stato in ferie 😉 Le criticità principali sono descritte chiaramente nelle prime righe del secondo articolo: PHP è utilizzato in uno dei contesti maggiormente a rischio, ovvero quello dei server Web, e viene utilizzato da un gran numero di “dilettanti”, ovvero programmatori che non hanno studiato con la dovuta completezza le specificità, anche di sicurezza, del linguaggio che utilizzano. Questo comprende naturalmente molti che prendono “framework” in PHP e li personalizzano, e certo sono molti. Del resto, la tentazione, anche con WordPress, di fare modifiche “al volo” per vedere gli effetti è forte. Tuttavia, sembra chiaro che se è così facile scrivere applicazioni insicure, PHP non offre sufficienti protezioni di per sè, almeno per il contesto in cui è utilizzato.
Comunque sia, non è difficile prevedere un aumento di interesse nei prossimi mesi nelle vulnerabilità di siti web con un uso poco accorto di PHP, nonché nelle vulnerabilità del linguaggio stesso, con la probabile creazione di qualche worm che si propaghi fra server anziché fra client. Date le esperienze passate di questo tipo, non è una prospettiva tranquillizzante. Soluzioni? Quello che si può fare è aggiornare e studiare tanto.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
