V2EX 首页   注册   登录

leisurelylicht

  •   V2EX 第 115239 号会员,加入于 2015-05-05 11:04:27 +08:00,今日活跃度排名 8116
    2 G 72 S 21 B
    leisurelylicht 最近回复了
    怎么说呢,你们还是没理解我说的和语言无关,和人有关。

    @husky 你的这套推导式前面都没什么问题,只是后面还缺了一步,就是更安全的开发规范有没有被使用。

    事实上实际工作过程中因为各种各样的因素,更安全的开发规范可能都没人看。比如 PHP 有很多函数都有为了安全而开发的新函数,但是不是所有人都知道这些安全变更呢?不一定的,看人。

    其次你的这个掩耳盗铃的比喻不是很恰当,真的要说的话应该是这样。

    我们现在要去一个目的地,有两条路都可以到达,分别叫 PHP 和 Python。然后叫 PHP 的这条路上有 100 个强盗等着抢劫过路的人,而叫 Python 的这条路上有 10 个强盗等着抢劫过路的人。

    你觉的哪条路更安全?

    当然是取决于你能雇佣到的保镖多少了,也就是你能投资的资源是多少。但是 Python 所需要你投资的资源肯定是少于 PHP。

    这样说你能明白吗?

    @jhdxr 关于你所得 0day 的问题,确实 Python 如果出 0day,传播速度肯定是要慢于 PHP 的。

    但是你的问题在于你只知道 0day,却不知道一次完整的渗透过程是不可能只靠一个 0day 来完成的,你明白吗?

    黑客真的要黑你必然是一堆 Nday 加上关键点的几个 0day。现在 0day 你有了,那些 Nday,你要去哪里找呢?

    那些 Nday 的 EXP 你又要去哪里找呢?全部自己写吗?说不定这个 0day 被补好了你都没写完。

    在 CNVD 上用 Python 做关键字搜索只能搜到 622 条,而用 PHP 搜索能搜到 15823 条。你确定这种数量级的碾压不会对现实使用过程的安全体验造成影响?

    至于你说的广撒网,你真的以为黑客都那么闲的吗?除了 apt,没有什么黑客会专门盯着一家不放的,大家都是用各自的扫描器在公网上广撒网,能避过这一击,就已经可以减少很多攻击了。

    最后说下,而且搞工程不是搞学术,搞工程是各方权衡的后果,有多少钱,多少时间,多少人,什么人,多少资源,什么资源都是影响安全的因素。不是想你们想象的这样,语言都不安全,所以一个语言不可能比另一个更安全。

    只要是在限定条件的情况下,可以。
    @carlclone
    @SlipStupig
    @shijingshijing

    是,语言其实是相似的,但是研究一门语言漏洞的人越多,发现的漏洞就越多,传播的也就越广泛。

    拿我自己来说,我也是个脚本小子,第一份工作就是专门做 web 漏洞扫描的。

    我遇到的 php 网站漏洞和讲 php 网站漏洞的文章,工具都远多于 python,

    我手里的 php 漏洞利用脚本也远多于 python。

    也因此我对我拿到一个 php 的网站不管怎么样我都有一堆工具可以先试一试,而 python 不是不行,但是相对来说工具和思路都会少很多。

    市面上讲渗透的书基本都是以 php 或者 java 做靶机的。python 很少,为什么,因为会渗透 python 的人少。

    所以我说与语言无关,与人有关。语言都是图灵相等,谁能比谁差到哪去呢。

    python 毕竟在 web 领域火起来的时间没有 php 久,相关的安全研究积累,没有那么多。

    我说 python 自由度低是因为 python 做网站多半是 python + django,很多东西框架就给你搞好了。

    当然可以不用,但是那样就很麻烦了,真要只用 python 从头写个网站,说实话我是搞不来的。

    而 php 一不高兴什么框架都可以不用,只有 php,其他全部从零,orm 什么的都能省,比不用框架还简单。这样给人的发挥空间就过大了。

    尤其还有一群写 C 的队友,玩 C 的人最爱自己造轮子,但造出来基本都是坑。
    Python,个人感觉在安全性上会比 PHP 好一点。

    与语言无关,与人有关

    1. 研究 PHP 漏洞的人比较多,Python 较少。

    2. PHP 在 Web 开发上比 Python 自由度高一点,所以程序员出错的机会也多一点

    个人观点,欢迎讨论
    20 天前
    回复了 leisurelylicht 创建的主题 Python 求问关于 vim 编译支持 Python 的问题
    @glues 我切成 3,vim 打开直接报错了
    20 天前
    回复了 leisurelylicht 创建的主题 Python 求问关于 vim 编译支持 Python 的问题
    @maxxxxx
    @OscarUsingChen
    原来如此,也就是说只要我用的 vim 插件不要求使用 python3,那我编译时候就用 python2 就行。

    跟我写什么版本的代码没关系。
    33 天前
    回复了 billows 创建的主题 macOS 你们的 macOS 复制粘贴功能 100%成功吗?
    我也有,特别是 office 下
    @flyws 多谢,真是这样。先对右面做聚合就好了
    204 天前
    回复了 cxl008 创建的主题 iPhone 用了几年的 iPhone ,有点不想用了。。
    帝都,小米 5,地铁刷卡很好用,只要手机别没电
    243 天前
    回复了 Andor_Chen 创建的主题 Python 送几本《流畅的 Python 》
    希望能中
    245 天前
    回复了 leisurelylicht 创建的主题 Python 关于 openpyxl 的使用方法
    @weyou openpyxl 直接使用了 python 的内置类型吗?
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   594 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 23ms · UTC 22:02 · PVG 06:02 · LAX 14:02 · JFK 17:02
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1