PHP ist ein Top-Risikofaktor
Websites, die mit dem Toolkit PHP geschrieben wurden, sind gefährdeter als bisher angenommen. Die Anwendungen lassen sich im Notfall schwer stoppen. In den USA sind mehrere Experten deswegen besorgt.
Wie eine Untersuchung des National Institute of Standards and Technology feststellte, waren im Jahr 2006 etwa 43 Prozent aller aufgetauchten Sicherheitsfragen mit PHP Hypertext Preprocessor, kurz PHP, verbunden. Im vergangenen Jahr kamen die Fachleute bei derselben Untersuchung auf 29 Prozent.
Während Fehler in der Sprache selbst aber immer noch gering seien, sei das Problem, das nicht mit dem Toolkit vertraute Programmierer mit dem Abschalten von Anwendungen haben, nicht zu unterschätzen. Für Peter Mell, Senior Computer Scientist an dem Institut steht außer Frage, dass die Alarmglocken nun laut genug läuten müssten. Er sagte gegenüber dem Magazin Security Focus, dass man es mit Sicherheit mit einem größeren Problem zu tun habe, sobald mehr als ein Drittel aller Fehler oder Lücken auf eine bestimmte Skriptsprache hinweisen, wie PHP eine sei.
Die Trendschau zeigt allerdings, dass das Problem besonders massiv im zuende gehenden Jahr 2006 angestiegen war, was für die wachsende Verbreitung der Sprache steht. Bereits beim Blick auf die ersten drei Quartale waren die webbasierten Probleme auf den ersten drei Plätzen der gefundenen Lücken weltweit, hieß es im Spätsommer übereinstimmend: Database Injection, Cross Site Scripting oder PHP File Inclusion sind dabei die häufigsten Ursachen.
Doch nicht genug damit: Durch den Weggang von PHP-Veteran Stefan Esser aus der Organisation PHP Group hat sich die Stimmung im PHP-Lager zugespitzt und die Aufmerksamkeit wurde auf das Sicherheitsproblem gelenkt. Immerhin hatte Esser die Gruppe im Streit verlassen, da sie nicht schnell genug auf Sicherheitsanfragen der Programmierer reagieren würde. Esser veröffentlicht seither die Lücken, die er findet, auf eigene Faust.