Aujourd’hui chers lecteurs,
Bien que je ne post que très rarement sur ce blog maintenant, je vais vous présenter une suite de billets que voici dès maintenant :
- http://www.antoinebenkemoun.fr/2009/07/securiser-un-serveur-apache-avec-php-la-problematique/
- http://www.antoinebenkemoun.fr/2009/07/securiser-un-serveur-apache-avec-php-debut-de-solution/
- http://www.antoinebenkemoun.fr/2009/07/securiser-un-serveur-apache-avec-php-suphp/
Je n’ai pas la prétention de me prendre pour un professionnel, de nombreuses fois j’ai rencontré et aidé des gens bien moins précis que moi sur le sujet mais moi-même je n’ai jamais été contre un peu d’aide, prêt à en apprendre plus, quand je bloquais sur un sujet qui me paraissais difficile.
Alors je n’ai pas pour habitude de descendre le premier venu lorsque qu’il dit une bêtise. Surtout qu’en à la base, cela part d’une bonne initiative, mais je dois dire qu’un ramassis de conneries, telles que j’ai pus en lire tout au long de ces trois articles, me fait bondir !
En extrait pour mémoire :
INTRO / CONTEXTE
Le PHP est un langage web qui permet de faire des sites web dynamiques. (…)
C’est souvent le langage de programmation sur lequel démarrent beaucoup de programmeurs autodidactes. Quand on lit ca, on peut se dire « Chouette ! C’est cool PHP on peut programmer simplement pleins de trucs trop biens ! Si je m’y mettais ?! ». D’un coté, c’est pas faux, vous allez nous coder un super site tout moche parcque vous savez pas utiliser Photoshop. D’un autre coté, vous allez surement coder un site bourré de failles de sécurité. (…)
Et oui, les sites PHP sont souvent bourrés de faille car les programmeurs débutants n’ont souvent pas de connaissance en programmation sécurisée. Si c’est vous à titre personnel, vous vous ferez démonter votre site perso et (…)
vous allez venir vous plaindre à votre hébergeur car il n’a pas sécurisé son serveur alors que c’est votre code qui est pourri. Et ca, ca m’énerve.
LES CONSEILS
Tout d’abord, lorsque vous installez un serveur web, il est fortement recommandé d’installer la version Suhosin. Il s’agit d’une version de PHP qui a été patchée pour réparer des failles de sécurités connues (…)
Ensuite, il faut avoir une version PHP à jour. (…)
La configuration de PHP peut largement influer sur la sécurité du serveur web. Il existe de nombreuses fonctionnalités de PHP qui permettent de faire des choses intéressantes pour le développeur mais très inquiétant pour l’administrateur système. (…)
Tout d’abord, la directive fopen est une directive qui devrait être désactivée par défaut. (…)
Ensuite, si un de vos clients a besoin de la directive fopen, car elle peut quand même être utile… Il parait. Vous allez donc devoir restreindre l’accès aux fichiers ce qui est possible dans PHP via la directive open_basedir. Grâce à cette directive, vous allez donc contraindre vos clients à ne pas sortir de leur répertoire. Il est également généralement recommandé de désactiver la directive register_globals mais je ne suis pas capable de justifier pourquoi. Je sais juste qu’il s’agit d’une option qui n’est plus d’actualité dans les versions de PHP d’aujourd’hui.
Je vous laisse la joie de lire ces articles dans leur intégralité et peut-être mes commentaires s’ils restent en place.
Moi ça m’énerve (pour reprendre les mots de l’auteur) de lire des choses comme ça !
Les débutants n’ont pas besoin de lire de telles bêtises et c’est dégradant pour les professionnels travaillant du mieux qu’il peuvent que de voir quelqu’un dire : pour sécuriser votre bécane, il faut désactiver cela, je ne sais pas trop à quoi cela sert mais c’est mieux.
Moi ça me fait sortir de mes gonds.
Derniers commentaires