1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Wordpress: Hintertüren in Plugins…

Crappress

  1. Thema

Neues Thema Ansicht wechseln


  1. Crappress

    Autor: burzum 22.06.11 - 13:16

    Immer wenn ich von Wordpress lese, besonders im Zusammenhang mit Sicherheitslücken, wundert es mich das jemand der bei Verstand ist und Code lesen kann dieses Stück Wildwuchs überhaupt freiwillig anpackt.

    Bei Scripten wir Wordpress wundert mich der schlechte Ruf von php leider gar nicht mehr. :( Dumm nur das die Sprache für die Pfuscher die sie benutzen nichts kann.

    Sauber geschriebene (OOP, MVC?) und mit Unittests versehene Alternativen scheint es ja nicht zu geben. Oder irre ich?

  2. Re: Crappress

    Autor: Hazamel 22.06.11 - 13:47

    Doch... nur leider hat eben nicht jeder einen Application-Server im Keller stehen geschweige denn ist bereit einen solchen bei seinem Hoster zu bezahlen

  3. Re: Crappress

    Autor: makeworld 22.06.11 - 14:07

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Immer wenn ich von Wordpress lese, besonders im Zusammenhang mit
    > Sicherheitslücken, wundert es mich das jemand der bei Verstand ist und Code
    > lesen kann dieses Stück Wildwuchs überhaupt freiwillig anpackt.

    *meld* ;)

    > Bei Scripten wir Wordpress wundert mich der schlechte Ruf von php leider
    > gar nicht mehr. :( Dumm nur das die Sprache für die Pfuscher die sie
    > benutzen nichts kann.

    bei uns gab's vor ca. 10 jahren die diskussion, php-sites überhaupt zuzulassen.
    Da immer mehr User/Kunden danach verlangten (und nicht zu einem Bilighoster wechseln wollten) richteten wir Jails mit php ein.
    Als wir dann die Sauerei bemerkten, daß mit phpmyadmin und anderen Schweinerein
    gearbeitet wurde, ließen wir in regelmäßigen Abständen kleine update-check-scripte
    über die Bereiche laufen - mit erschreckendem Ergebnis...denn das Anschreiben an Jene, doch bitte ihre SW zu pflegen, und immer die notwendigen Updates einzupflegen, scheiterte kläglich....

    wir lernten daraus, daß diese irre Menge an php-sites mit wildem Eigenlaborat
    des $Kunden viel schlimmer war, als vormals gedacht.

    Seit einem Jahr haben wir einen initiale site mit wordpress am laufen: $User kann kein Plugin drauf/reinpacken - ist alles von uns vorgegeben.
    Wir machen das Update.
    Ergebnis: bisher läuft alles gut (allerdings haben wir unter 500 sites davon zu verwalten, und nicht zigtausend.


    >
    > Sauber geschriebene (OOP, MVC?) und mit Unittests versehene Alternativen
    > scheint es ja nicht zu geben. Oder irre ich?

    Ich seh das wie Du, weswegen wir auf das obig, beschriebene zurückgegriffen haben.
    und wir sind sehr glücklich, kein php mehr anbieten zu müssen ;)

    --
    bitte nicht nur beim Editor den rechten Rand einstellen

  4. Re: Crappress

    Autor: morecomp 22.06.11 - 14:50

    burzum schrieb:
    --------------------------------------------------------------------------------

    > Sauber geschriebene (OOP, MVC?) und mit Unittests versehene Alternativen
    > scheint es ja nicht zu geben. Oder irre ich?

    Du hast keine Ahnung nicht? Ich hofe du kannst wenigstens in irgendeiner Sprache programmieren und nicht nur die Luft scheppern lassen. OOP und MVC sind in PHP kein Problem und Unitest sind externe Bibliotheken aber haben auch nicht direkt mit der Programmiersprache zu tun. Außerdem würde ich nie auf die Idee kommen und würde eine Skriptsprache mit einer Compilersprache vergleichen. Für beides gibt es unterschiedliche Einsatzgebiete. Außerdem wird alles Richtung Web gehen und wenn du Compiler-Programme schreiben kannst, wirst du irgendwann arbeitslos werden. Sogar Spiele loten die Möglichkeiten im Netz aus und Crysis 10 läuft dann im Browser aber wedm erzähl ich das...

  5. Re: Crappress

    Autor: Keridalspidialose 22.06.11 - 15:09

    Gut. Damit grenzt ihr den Wildwuchs etwas ein udn der Kunde kann nicht jeden Unfug den er irgendwo findet installieren...

    Aber wenn in einem populären Plugin Schadcode entdeckt wird, und ihr habt es selbst installiert, dann ändert das an der Situtation nichts. Laut Heise war der Code gut getarnt. Und dass Du ernsthaft den Code von allem was Du installierst anguckst und nachvollziehst bis ins letzte Detail, das kannst Du Deiner Oma erzählen.

    ___________________________________________________________

  6. Re: Crappress

    Autor: pythoneer 22.06.11 - 15:36

    er wollte damit doch nur sagen, dass php scheisse ist und mit php erstellte "software" auch. nur in etwas blumigeren worten. zudem ist er froh, dass dau's auf seinem server keine php scheisse mehr installieren können, sonder nur, soweit wie es eben möglich ist, hart begrenze vorinstallationen, das wenigstens ein minimum an sicherheit bringt.

    @ morecomp: er meinte damit, dass das umfeld in der php software entsteht gerne ohne oop und mvc arbeitet. wordpress quelltext kenn ich nicht und kann dazu nix sagen. leider gibt es zu viel crappy code bei php, aber das gibt es bei jeder anderen sprache auch. nur fällt sie mir bei php komischerweise öfter mal in die hände. vllt weil viele einfach mal bissl was in php machen, weil es irgendwie populär ist, aber keinen plan haben was die da wirklich machen.

  7. Re: Crappress

    Autor: makeworld 22.06.11 - 16:23

    Keridalspidialose schrieb:
    --------------------------------------------------------------------------------
    >[...]
    > Aber wenn in einem populären Plugin Schadcode entdeckt wird, und ihr habt
    > es selbst installiert, dann ändert das an der Situtation nichts. Laut Heise
    > war der Code gut getarnt. Und dass Du ernsthaft den Code von allem was Du
    > installierst anguckst und nachvollziehst bis ins letzte Detail, das kannst
    > Du Deiner Oma erzählen.

    rischtisch!

    ....aber als einfache Hausmeister/Verwalter haben wir jetzt _mehr_ Ruhe, da wir den Besen mit den Stahlborsten in die Ecke stellen konnten...

    Mit deiner Vermutung liegst du natürlich richtig - aber wir wollten ja nicht die Hände in den Schoß legen, sondern _genauer_ und _effektiver_ arbeiten. Jede Woche zig dutzend mails rauszuhauen - teilweise schon als cronjob - macht halt keinen Spaß :/
    wir gehöre zu Jenen, die sich lieber selber an die Nase fassen, wenn was schief läuft.
    das läßt sich dann schneller beheben ;)

    Wordpress ist nunmal sehr populär, und auch handsome für die User - was sehr wichtig ist....

    ...auch empfinde ich es mittlerweile als hohe Kunst, minimalistisch zu arbeiten, und das dann auch zu kommunizieren - Fehler und Schadcode kann trotzdem enthalten sein.

    --
    bitte nicht nur beim Editor den rechten Rand einstellen

  8. Re: Crappress

    Autor: Trollversteher 22.06.11 - 16:43

    >Du hast keine Ahnung nicht? Ich hofe du kannst wenigstens in irgendeiner Sprache programmieren und nicht nur die Luft scheppern lassen. OOP und MVC sind in PHP kein Problem und Unitest sind externe Bibliotheken aber haben auch nicht direkt mit der Programmiersprache zu tun.

    Öhem, vorm Luft scheppern lassen hättest Du besser seinen Beitrag nochmal genauer durchgelesen, Du hast ihn nämlich ordentlich missverstanden...

    >Außerdem würde ich nie auf die Idee kommen und würde eine Skriptsprache mit einer Compilersprache vergleichen. Für beides gibt es unterschiedliche Einsatzgebiete. Außerdem wird alles Richtung Web gehen und wenn du Compiler-Programme schreiben kannst, wirst du irgendwann arbeitslos werden.

    Nein, dann wirst Du als Spezialist sehr viel Geld verdienen, weil sich 99% der Entwickler auf Webentwicklung spezialisiert haben und Leute wie Du händeringend gesucht werden (denn native Programmierung wird immer oder zumindest noch sehr sehr lange notwendig sein, wenn auch nicht mehr unbedingt für das Massenmedien Geschäft).

    >Sogar Spiele loten die Möglichkeiten im Netz aus und Crysis 10 läuft dann im Browser aber wedm erzähl ich das...

    Ist nicht unwahrscheinlich... könnte allerdings auch sein, daß Crysis 10 nativ auf einem fetten Server läuft und zum Kunden gestreamed wird - und da man nativ immer noch mehr rausholen kann als mit Highlevel Scripts, wird's vermutlich auch noch ne ganze Weile Dauern bis selbst Hightech-Coregames nur noch für den Browser gescripted werden. Aber im Prinzip geb ich Dir da Recht - in der Anwendungsentwicklung geht die Tendenz schon seit längerem zum Modell Logik auf dem Server - Bedienung am Thin-Client im Browser.

  9. Re: Crappress

    Autor: morecomp 22.06.11 - 17:01

    > @ morecomp: er meinte damit, dass das umfeld in der php software entsteht
    > gerne ohne oop und mvc arbeitet. wordpress quelltext kenn ich nicht und
    > kann dazu nix sagen. leider gibt es zu viel crappy code bei php, aber das
    > gibt es bei jeder anderen sprache auch. nur fällt sie mir bei php
    > komischerweise öfter mal in die hände. vllt weil viele einfach mal bissl
    > was in php machen, weil es irgendwie populär ist, aber keinen plan haben
    > was die da wirklich machen.


    Natürlich gibt es unsicheren und schlechten Code in PHP aber den gibt es nicht nur in PHP, sondern auch bei den Compiler-Sprachen. Wordpress ist halb gnial und halb bullshit. Es werden viele Highend-Techniken verwendet und dann gibt es wieder Konzeptionsschwächen. Wahrscheinlich aus der Anfangszeit der Software. Aber überwiegend gut würde ich jetzt mal sagen. Wenn ich mir da zum Vergleich andere Projekte ansehe...

    Ich bin schon ziemlich lange im Thema und muss sagen, PHP ist nicht das gelbe vom Ei aber schon nahe dran und vor allem kommt man heute nicht mehr mit einer Technik alleine zum Ergebnis. Immer öfter mischt man Ajax, Soap, XMLRPC etc. und somit bleibt es bestimmt nicht beim simplen Compiler der deine Software alleine schreibt.

    Wir werden sehen wie es in der Zukunft weiter geht, welche Überraschungen es noch geben wird...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AOK Systems GmbH, Bonn
  2. Universitätsklinikum Münster, Münster
  3. HERMA GmbH, Filderstadt
  4. BG-Phoenics GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 8,99€
  2. (-20%) 47,99€
  3. (-15%) 42,49€
  4. (-10%) 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de