hardened-php-mm-protect This option enables canary protection of memory allocated via emalloc().

hardened-php-ll-protect This option enables canary protection of zend engine linked lists.

hardened-php-fmt-protect This option removes support for %n from the PHP format string functions.

hardened-php-inc-protect This option forbids to include a file if: it has an overlong filename, has a \0 cut within, is an URL or is an uploaded file

"Unbekannt" ist sicherlich ungeschickt gewählt, bekannt aber nicht gefunden. Typische Bugs werden vorzeitig entschärft. Fast alle neuen Sicherheitslücken wo auch immer basieren auf bekannten Fehlern. Solange das Wort "alle" nicht auftaucht...

Sicherheitslücken basieren auf Fehlern. Fehler lassen sich nicht verhindern. Ergo lassen sich Sicherheitslücken nicht verhindern. Man kann sie aber eindämmen. Dazu gibt es hauptsächlich drei Mittel:

1. Verunmöglichen von bestimmten Fehlern durch entsprechendes Design der Programmiersprache.
2. automatisierte Kontrollen
3. manuelle Kontrollen

Lösung 1 hat den Nachteil, das sie die Flexibilität der Programmiersprache einschränkt. Wenn man bedenkt, das C und C-ariges C++ nach wie vor die beliebtesten Sprachen sind, kann man davon ausgehen, dass diese Lösung sich auf absehbare Zeit nicht durchsetzen wird.

Lösung 2 hat den Nachteil, das für die Kontrollen Rechenzeit verbraten wird. Das Programm wird also langsamer. Trotzdem gewinnt diese Lösung an Boden. Das PHP-Hardening geht in diese Richtung.

Lösung 3 hat den Nachteil, dass sie nicht funktioniert. Genauso, wie sich Fehler nicht verhindern lassen, lässt sich nicht verhindern, dass Fehler unentdeckt bleiben. Mit intensiven, manuellen Kontrollen (aka Auditing) kann man zwar tatsächlich die Fehlerzahl deutlich reduzieren, aber an die Sicherheit der anderen Lösungen kommt man nicht annähernd heran.

--
Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.