On Mon, Jul 04, 2005 at 05:16:51PM +0200, Lol Zimmerli wrote: > Cela dit, en pratique, sur les serveur de mon employeurs, nous avons > du retirer le safe_mode et autre sécurité pour que nos clients > puissent installer ces abominations. Dura lex sed lex. Tout au plus, > nous gardons traces des version installées et demandons aux > retardataires de mettre leur installation à jour.
Il y a toujours la possibilité de tourner deux Apache, un en safe_mode, l'autre pas, et d'utiliser de la redirection de port ou mod_proxy pour accéder à celui qui est sur le port 8080 p.ex. Ou du chroot. Ou du UML ou VLS. Tout dépend ce qu'on veut éviter. > > Cela dit, je dois reconnaitre que j'ai toujours ete choque de voir > > que des que j'oublie une virgule dans un script php, les messages > > d'erreur sont aussitot visibles pour tous les internautes, et que > > ces messages d'erreur affichent les repertoires physiques de > > l'ordinateur hebergeant le site... > > ...alors qu'il est tellement simple de désactiver cela avec un simple > fichiers .htaccess contenant: php_flag display_errors off De toute manière, des messages sans les répertoires, c'est `security through obscurity', un bon attaquant devinera ces noms ou les obtiendra d'une manière ou d'une autre. _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
