Centralisation des solutions de securité
Centralisation des solutions de securité - PHP - Programmation
Marsh Posté le 04-04-2005 à 14:00:30
réservé
---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Sujets relatifs:
- Avis sur mon code - Sécurité.
- Sécurité des fichiers php
- javascript: popup/frames/opener : pb de sécurité pour mozilla ?
- Sécurité au niveau script php (pass)
- [PHP] Securité: sendcookie fiable?
- Probleme appli .net strategie de securité du framework .net
- Informatique Medicale et Securité/Confidentialité
- Requete Myql + PB sécurité
- regles generales de securité
- [Securité] Gestion mot de passe / cookies et SSL
Marsh Posté le 04-04-2005 à 14:00:16
Bonjour,
J'ai eu l'idée de créer ce topic après m'être rendu compte du fait qu'il existe une multitude de tutoriels plus ou moins pertinents sur tout autant de problèmes de sécurité plus ou moins actuels et graves mais nul part (à part Google si on sait s'y prendre) où on peut les trouver tous rassemblés et classés par ordre de dangerosité.
Je m'explique. Quand on tape sécurité php sur google on tombe sur à peu près 7'000 sites, dont certains sont très pertinents et d'autres totalement à coté de la plaque. A partir de chacun de ces sites se prolonge une liste plus ou moins récente et intéressante de liens de sécurité, ce qui rend une lecture suivie assez peu commode. Dans cette foule de lien on vient à trouver des pages mises à jour au PHP3/4 (rarement du 5), prônant triomphalement certaines méthodes plus ou moins émulant les fonctions register_global (off) , magic_quote_gpc (on) ,etc et ceci en se demandant rarement si oui ou non l'utilisateur en a effectivement besoin, ce qui nous amènera par la suite des gugus ici nous demandant pourquoi leurs input sont 2 fois addslashés & co.
Tout ceci me porte à vous proposer d'utiliser ce topic pour recenser le maximum de failles et leurs solutions. Étant donné qu'un grand nombre de personnes sont encore à PHP4, et que beaucoup de failles de PHP4 sont toujours présentes dans PHP5, il sera possible de poster des failles pour cette version. Toute fois je vous prie de bien vouloir spécifier sur quelle(s) versions de PHP votre faille fonctionne (PHP4 , PHP5, PHP4+5) afin qu'on s'y retrouve.
Bien évidemment les problèmes de sécurité liés à des modules (bases de données, ...) seront aussi traités étant donné qu'ils sont intimement liés à PHP (peut-être pas chez tout le monde, mais ça peut entre le cas).
En ce qui me concerne je vais dès maintenant me lancer à la rédaction des failles qui me semblent les plus évidentes.
Je vous serais en outre gré d'éviter de troller sur ce topic, et si possible envoyez moi par m.p. vos solutions, de la sorte que je puisse faire une rédaction unique. Ceci pour éviter d'avoir un topic contenant un trop grand nombre de réponses et donc potentiellement inutilisable (difficile de trouver une réponse à la page 342 d'un topic).
Il est évident que si ce topic ne stimulera l'intérêt d'aucun de vous forumiens, ou s'il partira en troll, je l'effacerai aussitôt afin de ne pas créer le Xème topic de troll.
Sur ce à bientôt, j'attends bien entendu vos suggestion (je me recommande, si possible par m.p) et bonne journée
---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait