[gull] Php safe mode, c'est valable, selon vous?

[Marc SCHAEFER]

On Mon, Jul 04, 2005 at 05:16:51PM +0200, Lol Zimmerli wrote:
> Cela dit, en pratique, sur les serveur de mon employeurs, nous avons
> du retirer le safe_mode et autre sécurité pour que nos clients
> puissent installer ces abominations. Dura lex sed lex. Tout au plus,
> nous gardons traces des version installées et demandons aux
> retardataires de mettre leur installation à jour.

Il y a toujours la possibilité de tourner deux Apache, un en safe_mode,
l'autre pas, et d'utiliser de la redirection de port ou mod_proxy pour
accéder à celui qui est sur le port 8080 p.ex.

Ou du chroot. Ou du UML ou VLS.  Tout dépend ce qu'on veut éviter.

> > Cela dit, je dois reconnaitre que j'ai toujours ete choque de voir
> > que des que j'oublie une virgule dans un script php, les messages
> > d'erreur sont aussitot visibles pour tous les internautes, et que
> > ces messages d'erreur affichent les repertoires physiques de
> > l'ordinateur hebergeant le site...
> 
> ...alors qu'il est tellement simple de désactiver cela avec un simple
> fichiers .htaccess contenant: php_flag display_errors off

De toute manière, des messages sans les répertoires, c'est `security
through obscurity', un bon attaquant devinera ces noms ou les obtiendra
d'une manière ou d'une autre.