• [^] # Re: Also also featuring...

    Posté par (site web personnel) . En réponse à la dépêche Sortie de PHP 5.2.10. Évalué à 10.

    >(vous savez, l'aberration qui fait croire aux hébergeurs qu'ils ne sont pas obligés de sécuriser leurs serveurs)

    Y en a un peu marre de ce fud perpétuel sur les hébergeurs qui n'ont pas déployés php comme dans "mon ubuntu"

    Le safe-mode est la seule tentative sérieuse de faire de php (l'interpréteur), un environnement d'exécution un tant soit peu adapté à son usage.

    La problématique des hébergeurs est de faire fonctionner du code globalement mauvais, et pour ainsi dire jamais mis à jour dans un environnement un tant soit peu sécurisé et avec des contraintes budgétaires fortes.

    La question n'est donc pas d'empêcher le code malicieux d'être injecté (puisqu'en l'occurrence l'hébergeur n'a pas la main sur ce point). La question est de limiter la casse. De faire en sorte que le code malicieux ne se transforme pas en spam, en vol massif de données ou pire en exploit.

    Bien utiliser le safe-mode permet de repérer les scripts uploadés via des failles et de restreindre sans l'interdire l'usage de la fonction exec. Il permet également de protèger la machine contre certains ini_set malheureux.

    Je doute que beaucoup d'hébergeurs fasse du safe_mode leur seul outil en terme de sécurité.

    Maintenant quand son site se fait pirater, c'est toujours plus simple de blâmer l'hébergeur qui en plus t'as honteusement coupé que de se dire que tu as écris/utilisé du code vulnérable.

    Si le safe_mode est désagréable, c'est qu'il est contraint par le fonctionnement interne de php. Soit j'interdis, soit j'autorise. Je ne peux pas restreindre et pour cause, je n'ai pas de serveur d'application (oups)


    Par ailleurs, quand tu vois les failles qu'il y a dans des choses aussi populaires que joomla, spip, phpbb ou drupal, quand tu vois que beaucoup d'agences vendent des sites sans maintenance, tu peux peux-être, en faisant un petit effort, comprendre qu'un hébergeur n'est sans doute pas le plus à blâmer.

    Je vais même te dire le fond de ma pensée. Moi j'aime bien mettre le safe_mode. Tu sais pourquoi ? Parce que je suis sûr qu'au moins quelqu'un aura une fois mis le nez dans le code déployé sur le serveur. Parce que le truc ne va pas marcher from scratch est qu'au moins une fois, quelqu'un aura jeté un oeil à la gueule du code.

    Moi je veux bien qu'on critique. Mais je prefererai qu'on m'éclaire sur la bonne façon de faire. Parce qu'en tout cas, c'est pas la doc de php qui va m'expliquer comment déployer son bordel.