Du hast Probleme mit der Composer-Installation. Sicherlich nicht schön, aber deine schlechten Erfahrungen nun als Beweisführung für angebliche mangelnde Sicherheitskompetenzen des Zend-Teams anzuführen ist schon ark an den Haaren herbeigezogen.
Btw: Für den Code im Wiki gibt es überhaupt keine Installations-Anleitung. Der Leser ist gezwungen sich die Dateien selbst zusammen zu kopieren und Abhängigkeiten per Hand aufzulösen.
Nett, dass für einen Download, die Verifizierung eines Hashes (der vom selben Server auf dem selben Weg kommt...sic: was für eine beschissene Sicherheit bekomme ich hier vom Installer eines angeblich sicheren Frameworks geboten?) und für das Löschen einer Datei PHP benutzt wird...
Der Weg über den die Daten kommen, kann dir egal sein, die Gegenstelle weist sich ja mit einem SSL-Zertifikat aus. Und ob die Daten vom selben Server kommen, kannst du überhaupt nicht wissen. Du siehst die selbe Domain, aber das verrät dir nichts über die dahinterliegende Infrastruktur. Und auch hier gilt wieder: Der Wiki-Artikel bietet überhaupt kein Prüfsummen-Verfahren an.
Und ein Framework, welches einen unsicheren Download voraussetzt und mir "Sicherheit" nur vorgaukelt, den eigenen Setup dann definitiv falsch beschreibt -
Nein, du hast die Faktenlage nur falsch eingeschätzt. Weder der Download-Prozess noch das Prüfsummenverfahren sind hier von einer Schwachstelle kompromittiert. Wenn du solche Anschuldigen erhebst, sollte da schon eine qualifizierte Beweisführung hinter stecken, und kein flaues Bauchgefühl.
wie sicher kann dieses Framework wohl sein? Und warum sollte ich oder sonstwer annehmen, dass das Framework oder dessen ähnlich unbrauchbar beschriebenes Loginsystem "nach irgendeinem Maßstab sicher ist"?
Zum einen hast du ein renommiertes Entwicklerteam: Zend ist auch offizieller Maintainer des PHP-Interpreters. Wenn du diesem Team nicht zutraust ein sicheres System zu entwickeln, dann solltest du am besten gar kein Loginsystem auf PHP schultern.
Zweites hat das Zend-Framework eine riesige Nutzerbasis (~60.000.000 Installationen nach Hersteller-Angaben). Das ist also ein erprobtes System.
Und du hast Software-Tests, die dir die partielle Korrektheit des Login-System garantieren können. Das Loginsystem aus unserem Wiki ist nicht nur ungetestet, sondern auch untestbar wegen diverser Codesmells, z.B. die exit-Statements.
Außerdem ist das Zend-Team an ernsthaften Sicherheitsbedenken interessiert und pflegt eine offene Diskussionskultur. Dort werden Bedenken nicht einfach dementiert und klein geredet, wie zuletzt leider durch den Autor unseres Artikels geschehen. Diese Kritikunfähigkeit ist ein weiterer Punkt, wieso ich dieser Quelle lieber nicht traue.