[gull] Php safe mode, c'est valable, selon vous?

[fischer at ludwin.net]

>>On Tue, Jul 05, 2005 at 06:33:22AM +0200, fischer at ludwin.net wrote:
>>Vous personnellement, si vous avez un compte mutualisé avec accès ftp sur
>>un répertoire utilisateur donné, sur un serveur disposant de php en mode
>>non safe, vous pouvez trouver les mots de passe de vos voisins, puis le
>>mot de passe root de la machine? À cause de ce IUD, qui est le même pour
>>tous?

>Si je peux uploader un fichier.php quelconque dans *mon* arborescence et
>ensuite l'activer via HTTP comme un script, oui, je peux alors lire
>n'importe quelle donnée de clients autres, s'il n'y a pas le safe_mode
>ou approchant.

>Si le serveur est bien mis à jour
>régulièrement et bien configuré, les mots de passe des logins FTP et
>de root seront saufs ... mais les données seront accessibles quand même.
>Vu le rôle de ce serveur, du point de vue des clients, le dommage
>restera le même, même sans piratage de root.

Dingue! Les serveurs n'ayant ni safe mode, ni quelque chose d'approchant,
et qui offrent des hébergements, sont encore nombreux. Il y a même des
multinationales de l'hébergement chez qui c'est le cas. El Lol Zimmerli
faisait remarquer que des clients se plaignent quand une sécurité accrue
les empêche de faire tourner des scripts qui ont été développés et testés
en mode non sécurisé.

En fait, si je comprends bien, la seule chose qui protège les sites non
sécurisés, c'est l'honnêteté des gens qui savent comment craquer des
systèmes faibles, le fait que la données que l'on pourrait récupérer ne
sont pas toujours intéressantes, et peut-être aussi la peur du gendarme,
on  peut être repérable, tout de même...

Je ne sais pas combien de PME ont des sites web non sécurisés, mais il
doit y en avoir. Seules les grosses boîtes peuvent se permettre d'engager
des spécialistes pour maintenir la sécurité d'un systême.

On peut raisonnablement supposer que l'espionage sur le réseau progresse,
que ce soit l'espionage industriel (surtout) ou l'espionage politique
(secondairement).

En plus, les utilisateurs Linux et logiciels libres, pros ou non, sont
peut-être réticents à dire que leur système préféré a des défauts.

Pourtant, la situation semble s'être agravée par rapport à voici 6-7 ans.
Dans le passé, perl était la référence pour créer des sites web avec
contenu dynamique. Maintenant, c'est php. Plus facile, et plus dangereux
si j'en crois ce que je viens d'apprendre.

Et on me dit que python présente les mêmes défauts que le php! Je me
souviens avoir lu sur le site web d'un gourou célèbre, Eric Reymond,
auteur de "La cathédrale et le bazar" si je me souviens bien, que Phython
était, à son avis, mieux fait que Perl.

Si les gestionnaires de serveurs web ne prennent pas rapidement conscience
de ce phénomène, il pourrait y avoir un cataclysme, non? Un cataclysme qui
profiterait aux systèmes propriétaires. Vos avis?

Ludwin