>>On Tue, Jul 05, 2005 at 06:33:22AM +0200, [EMAIL PROTECTED] wrote: >>Vous personnellement, si vous avez un compte mutualisé avec accès ftp sur >>un répertoire utilisateur donné, sur un serveur disposant de php en mode >>non safe, vous pouvez trouver les mots de passe de vos voisins, puis le >>mot de passe root de la machine? À cause de ce IUD, qui est le même pour >>tous?
>Si je peux uploader un fichier.php quelconque dans *mon* arborescence et >ensuite l'activer via HTTP comme un script, oui, je peux alors lire >n'importe quelle donnée de clients autres, s'il n'y a pas le safe_mode >ou approchant. >Si le serveur est bien mis à jour >régulièrement et bien configuré, les mots de passe des logins FTP et >de root seront saufs ... mais les données seront accessibles quand même. >Vu le rôle de ce serveur, du point de vue des clients, le dommage >restera le même, même sans piratage de root. Dingue! Les serveurs n'ayant ni safe mode, ni quelque chose d'approchant, et qui offrent des hébergements, sont encore nombreux. Il y a même des multinationales de l'hébergement chez qui c'est le cas. El Lol Zimmerli faisait remarquer que des clients se plaignent quand une sécurité accrue les empêche de faire tourner des scripts qui ont été développés et testés en mode non sécurisé. En fait, si je comprends bien, la seule chose qui protège les sites non sécurisés, c'est l'honnêteté des gens qui savent comment craquer des systèmes faibles, le fait que la données que l'on pourrait récupérer ne sont pas toujours intéressantes, et peut-être aussi la peur du gendarme, on peut être repérable, tout de même... Je ne sais pas combien de PME ont des sites web non sécurisés, mais il doit y en avoir. Seules les grosses boîtes peuvent se permettre d'engager des spécialistes pour maintenir la sécurité d'un systême. On peut raisonnablement supposer que l'espionage sur le réseau progresse, que ce soit l'espionage industriel (surtout) ou l'espionage politique (secondairement). En plus, les utilisateurs Linux et logiciels libres, pros ou non, sont peut-être réticents à dire que leur système préféré a des défauts. Pourtant, la situation semble s'être agravée par rapport à voici 6-7 ans. Dans le passé, perl était la référence pour créer des sites web avec contenu dynamique. Maintenant, c'est php. Plus facile, et plus dangereux si j'en crois ce que je viens d'apprendre. Et on me dit que python présente les mêmes défauts que le php! Je me souviens avoir lu sur le site web d'un gourou célèbre, Eric Reymond, auteur de "La cathédrale et le bazar" si je me souviens bien, que Phython était, à son avis, mieux fait que Perl. Si les gestionnaires de serveurs web ne prennent pas rapidement conscience de ce phénomène, il pourrait y avoir un cataclysme, non? Un cataclysme qui profiterait aux systèmes propriétaires. Vos avis? Ludwin _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
