[gull] Php safe mode, c'est valable, selon vous?

Wed Jul 6 13:48:02 CEST 2005

On Wednesday 06 July 2005 13:25, fischer at ludwin.net wrote:

> Et on me dit que python présente les mêmes défauts que le php! 

??? On peut construire un site non securise avec n'importe quel langage. Je 
pense qu'il est faut de dire qu'un langage est plus securise qu'un autre. Ce 
sont les modes determines dans le serveur qui determinent le niveau de 
securite. Apache a une quantite d'options qui permettent de fermer ou non les 
portes. Un bon compromis est de tourner en 'chroot', sans suivre les liens 
symboliques, etc. Soit, ne permettre que la creation de fichiers a partir du 
point d'entree du serveur. Mais, si le code est mal ecrit, il se peut qu'un 
utilisateur mal intentionne arrive a creer un ou plusieurs fichiers de tres 
grosse taille, provoquant ainsi un DOS du serveur. Dans ce cas, on ne peut 
que blamer que l'auteur du programme. Ceci est possible dans, vraiment, 
n'importe quel langage. Inutile de comparer php avec quoi que se soit d'autre 
a ce niveau. Ca ne change rien !

php a un certain nombre de defaut qui lui sont propres. Mais ils sont 
independant de l'utilisation de php en tant que programmes sur un serveur 
web. 

> Je me 
> souviens avoir lu sur le site web d'un gourou célèbre, Eric Reymond,
> auteur de "La cathédrale et le bazar" si je me souviens bien, que Phython
> était, à son avis, mieux fait que Perl.

Oui, c'est bien ce qu'il dit et son article decrit bien pourquoi il arrive a 
cette conclusion. J'ai lu l'article hier, mais je n'ai plus le lien. Je ne 
l'ai pas poste sur la liste pour ne pas creer de troll :-)

> Si les gestionnaires de serveurs web ne prennent pas rapidement conscience
> de ce phénomène, il pourrait y avoir un cataclysme, non? Un cataclysme qui
> profiterait aux systèmes propriétaires. Vos avis?

Prendre conscience de quoi ? Certains site sont mal administres, il est vrai. 
Mais pour la plupart, tu serais bein en paine d'acceder a quoi que se soit en 
dehors de ton environement... Par exemple, ne pas installer les modules de 
mail pour php n'enpechera pas un developpeur d'emuler le protocole SMTP...
depuis son code... Aucun mechanisme n'empeche non plus un programmeur d'avoir 
un bug dans l'index d'un 'for' et d'engendrer une boucle infinie... c'est uen 
forme de DOS... Alors, l'environement hyper-mega securise... ne permet quasi 
plus rien... 

Ce qui est, a mon avis, beaucoup plus dangereux, ce sont les serveurs qui ont 
des ports SQL (MySQL, Postgress, MS*) ouverts sans connexion securisee... les 
mots de passes sont en clairs sur la ligne... si la connexion est effectue 
depuis un poste WiFi... je n'ai pas besoin de te faire de dessin. Ca me 
semble bien pire... et il y en a beaucoup plus que l'on ne croit. Il ne va de 
meme pour les connexion POP sur le port 110 au lieu d'une connexion POPs sur 
le port 995... etc.

dc