Shield Framework und das neu erfundene Rad
Kommentare

Mit dem Claim „A Security-Minded Microframework“ wirbt Chris Cornutt für sein Framework „Shield“. Es ist angelehnt an Slim und bietet überdies PHP-Fehlermeldungen auf Nutzer-Ebene, in denen man auf ungefilterte

Mit dem Claim „A Security-Minded Microframework“ wirbt Chris Cornutt für sein Framework „Shield“. Es ist angelehnt an Slim und bietet überdies PHP-Fehlermeldungen auf Nutzer-Ebene, in denen man auf ungefilterte Request-Parameter zugreifen kann. Außerdem erstellt es auf Security angepasste Header.

Doch die Kritik an Shield ist nicht zu knapp: Dieselben Aufgaben ließen sich bequem mit Slim oder jedem anderen Framework und Helpern lösen, heißt es in der Diskussion auf Reddit, an der sich Anthony Ferrara, Nikita Popov, der Autor Cornutt, ein vorgeblicher Sicherheitsberater und einige weitere Entwickler beteiligen.

Punkt für Punkt analysiert „bluepostit“, der sich als Sicherheitsberater vorstellt, welche Schwachpunkte Cornutt mit Shield übersehen hat: Der Verschlüsselungsmechanismus DES ist erheblich schwächer als symmetrische Algorithmen wie AES, Blowfish 3DES oder weitere. ECB ist kein zuverlässiger Cipher Block Mode, da er für Replay Attacken anfällig ist, und viel mehr.

Das Feedback berücksichtigt Cornutt umgehend, Anthony Ferrara macht sogar ein Fork von dem Framework und lässt ihm Pull Requests zukommen. Auch eine XSS-Schwachstelle beim View-Escaping wurde entdeckt und das Template System wurde als „Jr. Programming Level“ abserviert.

Der Autor des Frameworks lässt sich von der Kritik nicht entmutigen und hofft auf weitere Pull Requests. Als Chef-Autor hinter PHPdeveloper.org kann sich der bekannte Cornutt einiges Echo erhoffen. Ziel seines Projektes war es ohnehin, mehr über die Best Practice in Sachen Security zu lernen und mit dem Code eine offene Spielwiese zu schaffen, auf der sich jeder interessierte Entwickler in Sachen PHP-Sicherheit austoben soll.

Doch ist es fragwürdig, warum Cornutt sein (vermutliches junges) PHP-Wissen nicht in die Kooperation anderer Projekte wie Symfony2 investiert, die ebenfalls „Security Minded“ sind. Und weiter stellt sich die Frage, welches PHP-Projekt nicht auf Sicherheit bedacht ist.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -