Я подумал, что интересно то, что Стефан Эссер ушел из группы реагирования на инциденты в PHP. Не начинать религиозную войну на досках, но интересно, что основатель команды реагирования на безопасность PHP сыт по горло отсутствием безопасности в PHP и в результате ушел. Его сайт в данный момент не работает (поток трафика?): [Blog.php-security.org] Итак, вот фрагмент кеша:
Суббота, 9 декабря. 2006
Прошлой ночью я наконец вышел в отставку из команды PHP Security Response Team, которая изначально была моей идеей несколько лет назад.
Причин для этого много, но самая важная из них заключается в том, что я понял, что любая попытка повысить безопасность PHP изнутри бесполезна. Группа PHP прыгнет в вашу лодку, как только вы попытаетесь обвинить пользователя в проблемах безопасности PHP, но в тот момент, когда вы критикуете безопасность самого PHP, вы становитесь персоной нон-грата. Я перестал считать, что меня называют аморальным предателем за раскрытие дыр в безопасности в PHP или за разработку Suhosin.
Для обычного пользователя PHP это означает, что я больше не буду скрывать медленное время отклика на дыры в безопасности в моих рекомендациях. Это также будет означать, что некоторые из моих рекомендаций будут приходить без доступных исправлений, потому что PHP Security Response Team отказывалась их исправлять месяцами. Это также будет означать, что в PHP будет гораздо больше рекомендаций по поводу дыр в безопасности.
Автор: Стефан Эссер, PHP, Безопасность в 10: 58
Что ж, как ни страшно это звучит, я очень рад, наконец, получить "реальную сделку" по безопасности PHP. Я всегда был немного осторожен с этим, и будет интересно посмотреть, что Стефан скажет.