 |
|
|
| |
| SECURITE |
| Damien Seguy (AFUP) : "Le scan massif PHP est une annonce excessive et alarmiste" |
| Revenant sur l'annonce faite par Bee Ware il y a deux semaines, le vice-Président de l'AFUP désamorce ce qui lui paraît être une fausse alerte.
(02/11/2004) |
|
Vice-Président de l'AFUP (Association Française des Utilisateurs de PHP) et de PHP Québec, Damien Seguy revient sur le scan massif relaté dans notre article du 19/10/2004 ("Un scan automatique recherche les failles PHP des serveurs Web") en minimisant sa dangerosité et en rappelant les procédures de sécurité mises en place au niveau mondial par les 900 développeurs contribuant au développement du langage.
JDN Solutions : la faille est-elle réellement dangereuse ?
 Damien Seguy :
Je dirais tout d'abord que le terme de faille n'est pas approprié. il s'agit d'une fonction de PHP permettant d'inclure dynamiquement des scripts ou une portion de site à l'intérieur d'un autre site depuis une source extérieure. C'est une fonctionnalité qui peut être mal utilisée ou mal protégée, mais il ne s'agit pas d'un trou de sécurité.
Il existe une gamme de solutions permettant de
s'en prémunir. Tout d'abord le simple bon sens, qui consiste à valider les informations que l'on reçoit de l'extérieur, via des URL autorisées par exemple. On peut aussi désactiver l'accès aux fichiers distants. Autre solution : rajouter un pare-feu qui va limiter les échanges entre le serveur et l'extérieur, c'est la solution 'boîte noire'.
Je trouve l'annonce faite autour de cette fonction excessive et alarmiste, c'est un problème que l'on retrouvera dans 3 semaines dans PHP 5 si quelqu'un comme Bee Ware décide de faire une annonce du même acabit...
Plus globalement, un scan massif sur les serveurs PHP peut-il avoir lieu ?
Créer un scipt qui teste et envoie sur quelques variables des tests prend un quart d'heure. Que quelqu'un l'ait industrialisé est fort probable, mais le nom du virus relaté dans l'article n'apparaît que sur les sites francophones, ce qui est à mon sens étrange.
Ce qui me surprend dans cette annonce est par ailleurs que beaucoup de ressources existent sur Internet, comme par exemple phpsecure.info qui recense les failles dans les applications ou directionphp.biz.
Au demeurant, il serait intéressant de proposer ce service en chevalier blanc. L'AFUP pourrait ainsi appliquer le même principe que le virus pour que les gens sachent que la fonctionnalité peut être détournée sur leur site.
Quelles sont les procédures de contrôle et de sécurité au sein des groupes PHP à travers le monde ?
| Ces problèmes n'affectent que les programmeurs qui démarrent |
En termes de réalisation, 21 versions ont été publiées sur PHP 4 jusqu'à ce jour, dont 3 pour la sécurité. Quand un problème de sécurité est signalé au groupe PHP, celui-ci réagit très rapidement, en quelques jours, sa vigilance sur ce point est très forte.
Dans le monde, le groupe PHP, c'est 900 personnes qui travaillent sur le projet et toutes les alertes sont corrigées en amont, c'est-à-dire avant que toute nouvelle version ne sorte. Le groupe dispose par ailleurs d'une
politique d'assurance qualité qui collecte les bugs et propose un système automatique comprenant 700 tests.
Les pièges
les plus
classiques - pour les
développeurs débutants - sont connus :
l'include,
comme nous l'avons vu, et la directive register_global, où les noms
des variables dans les formulaires sont repris en
tant que telles dans les scripts.
Mais
les applications majeures
sont "blindées". Ces problèmes n'affectent que les programmeurs qui démarrent.
Ingénieur de l'école Centrale de Lille, Damien Seguy est également le fondateur et l'animateur du portail Nexen.net. |
|
|
|
|
|
|
