[gull] Php safe mode, c'est valable, selon vous?

Lol Zimmerli lugbox at lzi.ch
Mon Jul 4 17:18:02 CEST 2005


Hello,

<fischer at ludwin.net> écrit/wrote:
> Je te crois sur parole si tu me dis que phpBB2 est mal ecrit, mais
> dans ce cas, ce mauvais exemple est en train de faire ecole, parce
> que phpbb2, on le voit partout. Meme sur le serveur canadien en
> question, d'ailleurs. Il peut meme etre installe en quelques
> secondes avec un installeur de scripts php nomme Fantastico.

Si, dans tous domaines, les bonnes pratiques étaient la règle, nous
vivrions dans un monde drôlement plus sain et plus simple!

> Mais a voir les premiere reactions a ma question, peut-etre un peu
> provoquante, il semble qu'il y ait un fosse entre les faiseurs de
> sites web, souvent amateurs, et les professionels des reseaux.

Non, pas tout à fait. Je dirai qu'il y a des concepteurs de sites qui
s'intéressent aux bonnes pratiques (standards web, accessibilité,
installations logicielles sécurisées, code propre, etc) et les
autres. Personnellement, je connais des 'pros' des deux bords, ainsi
que des 'amateurs' des deux bords...

> Parce que les scripts dont je parle ne sont pas tous des scripts
> que j'ai ecrits, loin de la...

phpBB, pour ne citer que lui, est un véritable nid d'erreurs de
programmation et des code sale et peu sécurisé. Il en résulte une
mise-à-jour par mois, toujours avec 15j de retard sur la publication
d'un exploit expliquant la nième faille de cette &*"%ç*%"&*ç. Cela
dit, comme souvent, les gens crochent sur des choses dont la sécurité
du code ne fait pas partie, appelons ça la mode, le trend ou que sais-
je. Il en résulte des millions d'installations de phpBB2 sur
l'internet dont -je dirais- 90% n'est pas à jour et donc sujette à
l'une ou plusieures failles de sécuritées dûement répertoriées.

Cela dit, en pratique, sur les serveur de mon employeurs, nous avons
du retirer le safe_mode et autre sécurité pour que nos clients
puissent installer ces abominations. Dura lex sed lex. Tout au plus,
nous gardons traces des version installées et demandons aux
retardataires de mettre leur installation à jour.

> Cela dit, je dois reconnaitre que j'ai toujours ete choque de voir
> que des que j'oublie une virgule dans un script php, les messages
> d'erreur sont aussitot visibles pour tous les internautes, et que
> ces messages d'erreur affichent les repertoires physiques de
> l'ordinateur hebergeant le site...

...alors qu'il est tellement simple de désactiver cela avec un simple
fichiers .htaccess contenant: php_flag display_errors off

:)


-- 
Lol Zimmerli - http://www.lzi.ch/lol/
Revenus du clergé
Les prêtres obligés de tirer le diable par la queue. 
Celui-ci ne s'en plaint pas.  
	-+- Les nuls -+-



More information about the gull mailing list