PHP… La débacle est toujours en marche.

C’est pas tout jeune jeune, mais ça à le don de toujours m’énerver :
http://php.net/manual/en/features.safe-mode.php

The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren’t very realistic, many people, especially ISP’s, use safe mode for now.

On résume, safe mode permet de désactiver l’exécution directe d’exécutables, de coincer les scripts dans leur répertoire, restreindre ce qu’ils peuvent lire et couper éventuellement l’envois de mail en PHP. Ca sert pas seulement à empêcher que M. DUS lise le “config.php” de Mme DUS dans le répertoire d’à coté. C’est pas parfait, il ne faut pas tout baser sur cela, mais je pense que c’est un plus.

Il n’y a pas d’alternative viables pour le multiple hosting d’après eux. DONC, Bande de cons ! :)  On le coupe pas si il n’y a pas d’alternative viable. D’autant que les gars qui on mis ca en place c’est parce qu’ils sont pas du tout sur le reste généralement :)

Le coté multi-user c’est de base désormais il faudra s’y mettre,  https://wiki.apache.org/httpd/PHP-FPM. Sinon Il y a toujours http://www.suphp.org/Home.html.

Je suis persuadé que PHP 5.4 ne rendra par magiquement le codeur de page plus conscient des failles de sécurité. Moi ce qui m’embête c’est que désormais la donne c’est ”une injection en php réussie = un shell et un spammer/ddos bot”. C’est inextricable.  Well Done !

Et pourtant en PHP il y a maintenant de quoi cleaner ses inputs ;
http://websec.io/2013/12/31/Input-Filtering-Validation-Aura-Filter.html
http://www.php.net/manual/en/filter.filters.sanitize.php

Php 5.4 est déjà disponible sur Debian 7 et sera dans le prochain LTS Ubuntu. Auditez votre code ou passez vite sur SUSE :)

This entry was posted in WebSecurity and tagged , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code