[sage] Open Source Groupware - Erfahrungen mit z.B. PHProject oder dotproject

[Stefan Neufeind]

Hallo Oliver,

sorry, aber deine Ausführungen über PHP kann/möchte ich an dieser Stelle
so nicht unkommentiert stehen lassen. Es gibt sicherlich immer
persönliche Vorlieben - okay. Aber persönlich finde ich machst du es dir
hier "etwas zu einfach" (nicht böse gemeint).

On 01/17/2010 01:56 AM, Oliver Schad wrote:
> Am Saturday 16 January 2010 schrieb mir Andreas Welbers:
>> Aber insgesamt ist es sehr interessant, die Entwickler gehen auf
>> Vorschläge ein und führen Benutzerumfragen durch, um die Software den
> 
> Mmh, kann man die dazu bringen eine Programmiersprache zu benutzen, die 
> nicht so einen kaputten Interpreter hat?

An und für sich ist der "Interpreter" (Bytecode-Compiler mit
Runtime-Engine, ...) seit den frühen PHP-Versionen durchaus schon
wesentliche Schritte voran gekommen und imho sehr wohl "vernünftig".
Vielleicht magst du mit manchen Punkten z.B. bei PHP3 Recht gehabt
haben, aber die aktuelle Engine an und für sich läuft schnell, stabil,
ist (von Altlasten wie in jeder Sprache abgesehen) konsistent, ...

> Ich find's ja echt cool, dass die Leute sich reinhängen und solche 
> Projekte machen, aber warum zur Hölle muss es immer dieses total kaputte 
> PHP sein?

Persönliche Ansicht. Mir liegt da spontan Kritik an einer anderen
Sprache auf der Zunge - aber sparen wir uns die Flame-Wars :-)

> Erinnert sich noch jemand daran, wie Stefan Esser das Handtuch geworfen 
> hat, weil das PHP-Team sich einen Scheiß um Sicherheitsprobleme kümmert?

Nicht ganz richtig. Es ist nicht so, daß von den Konzepten gar nichts
umgesetzt wurde. Es gab nur manchmal auf persönlicher Ebene ein paar
Differenzen sowie unterschiedliche Ansichten was "Core" oder eine
"gehärtete PHP-Variante" ist. Durch Stefans gute Arbeiten in dem Bereich
sind auch in einigen Teilen Verbesserungen in PHP selbst integriert
worden. Und was es nicht direkt in den Kern geschafft hat ist über die
"Suhosin"-Erweiterung (wird über viele Repositories einfach zur
Nachinstallation angeboten) möglich.
Stefan arbeitet nachwievor im Bereich Web-Security allgemein und
Security in Bezug auf PHP im Speziellen.

> Und sowas wollen die Groupware-Entwickler uns Admins zumuten? Danke auch.

Sieh dir bitte objektiv an, was mit PHP möglich ist, was mit PHP
realisiert ist, in welchen Dimensionen PHP eingesetzt wird etc. Die
liegen deine Meinung alle falsch? Hmm ... deine Ansicht.

Und bring jetzt bitte keine Beispiele wie register-globals o.ä. ... das
ist schon seit Ewigkeiten "durch" und wenn man es auf einem PHP nicht
zusätzlich aktiviert schon längst Geschichte (in 5.3 nun auch endlich
offiziell deprecated).

> Ich will ja niemandem zu nahe treten, aber der PHP-Interpreter ist der 
> letzte Dreck. Er sorgt dafür, dass wir Arbeit mit unseren Systemen haben, 
> weil wieder irgendein Vollidiot eingebrochen ist. Das Zeug gehört auf den 
> Schrotthaufen.

Da machst du es dir zu einfach, sorry! Hier gilt es sehr wohl zu
differenzieren über welchen Weg "Einbrüche" bei euch stattgefunden
haben. Ein "populärer Weg" wie z.B. über "remote-includes" lässt
mittlerweile per PHP (und bereits schon länger über den Suhosin-Weg)
verbieten. Und auch im allgemeinen sollte man bei Verwundbarkeiten
vielleicht Fragen an die Applikation etc. stellen. Aber alles pauschal
PHP in die Schuhe schieben zu wollen ist nun wirklich etwas "einseitig
gedacht".

> Nehmt doch bitte irgendwas anderes als PHP, irgendwas, ist wirklich egal 
> was. Alles ist besser, Perl, Python, Ruby, Java, .NET, sogar mit viel 
> Abstand. Die Welt geht echt an den Leuten zu Grunde, die es wirklich gut 
> meinen, aber keine Ahnung haben. Gute Nacht.

Hmm ... lassen wir das mal so stehen. Schlaf vielleicht nochmal drüber.


Gute Nacht,
  Stefan