[gull] Php safe mode, c'est valable, selon vous?

Mon Jul 4 19:36:02 CEST 2005

> Hello,
>
> <fischer at ludwin.net> écrit/wrote:
>> Je te crois sur parole si tu me dis que phpBB2 est mal ecrit, mais
>> dans ce cas, ce mauvais exemple est en train de faire ecole, parce que
>> phpbb2, on le voit partout. Meme sur le serveur canadien en
>> question, d'ailleurs. Il peut meme etre installe en quelques
>> secondes avec un installeur de scripts php nomme Fantastico.
>
> Si, dans tous domaines, les bonnes pratiques étaient la règle, nous
> vivrions dans un monde drôlement plus sain et plus simple!
>
>> Mais a voir les premiere reactions a ma question, peut-etre un peu
>> provoquante, il semble qu'il y ait un fosse entre les faiseurs de
>> sites web, souvent amateurs, et les professionels des reseaux.
>
> Non, pas tout à fait. Je dirai qu'il y a des concepteurs de sites qui
> s'intéressent aux bonnes pratiques (standards web, accessibilité,
> installations logicielles sécurisées, code propre, etc) et les
> autres. Personnellement, je connais des 'pros' des deux bords, ainsi que
> des 'amateurs' des deux bords...
>
>> Parce que les scripts dont je parle ne sont pas tous des scripts que
>> j'ai ecrits, loin de la...
>
> phpBB, pour ne citer que lui, est un véritable nid d'erreurs de
> programmation et des code sale et peu sécurisé. Il en résulte une
> mise-à-jour par mois, toujours avec 15j de retard sur la publication
> d'un exploit expliquant la nième faille de cette &*"%ç*%"&*ç.

Eh bien! Je viens de l'installer sur un site, en croyant, tel un mouton de
Panurge, que si tant de gens l'utilisent, c'est qu'il est bien. Et pour
une autre raison egalement: puisqu'il est si rependu, les visiteurs savent
comment l'utiliser...

Concretement, avec PHPBB, on risque quoi?

> Cela dit, en pratique, sur les serveur de mon employeurs, nous avons du
> retirer le safe_mode et autre sécurité pour que nos clients
> puissent installer ces abominations. Dura lex sed lex. Tout au plus,
> nous gardons traces des version installées et demandons aux
> retardataires de mettre leur installation à jour.

>> Cela dit, je dois reconnaitre que j'ai toujours ete choque de voir que
>> des que j'oublie une virgule dans un script php, les messages d'erreur
>> sont aussitot visibles pour tous les internautes, et que ces messages
>> d'erreur affichent les repertoires physiques de
>> l'ordinateur hebergeant le site...
>
> ...alors qu'il est tellement simple de désactiver cela avec un simple
> fichiers .htaccess contenant: php_flag display_errors off

C'est simple, mais il faut quand meme que les utilisateurs puissent voir
les messages d'erreur quand c'est necessaire, en rajoutant une ligne dans
le code.

Ou alors, il faudrait simplement corriger php pour qu'il delivre des
messages d'erreur de donnant pas de renseignements sensibles.

Je crois que savoir PHP a ete cree par un gars (Ramsus Lehrdorf, quelque
chose comme ca) qui voulait au depart simplement faciliter la gestion de
sa propre Personal Home Page (d'ou les initiales PHP). Il ne se doutait
pas du fait que son invention deviendrait un language de reference pour
les pages web dynamiques. Au depart, la securite face aux crackers, ce
n'etait pas son objectif.

Mais pour en revenir a phpbb2: Aurais-tu un alternative a proposer?

>
> :)
>
>
> --
> Lol Zimmerli - http://www.lzi.ch/lol/
> Revenus du clergé
> Les prêtres obligés de tirer le diable par la queue.
> Celui-ci ne s'en plaint pas.
> 	-+- Les nuls -+-
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull