On Wednesday 06 July 2005 13:25, [EMAIL PROTECTED] wrote: > Et on me dit que python présente les mêmes défauts que le php!
??? On peut construire un site non securise avec n'importe quel langage. Je pense qu'il est faut de dire qu'un langage est plus securise qu'un autre. Ce sont les modes determines dans le serveur qui determinent le niveau de securite. Apache a une quantite d'options qui permettent de fermer ou non les portes. Un bon compromis est de tourner en 'chroot', sans suivre les liens symboliques, etc. Soit, ne permettre que la creation de fichiers a partir du point d'entree du serveur. Mais, si le code est mal ecrit, il se peut qu'un utilisateur mal intentionne arrive a creer un ou plusieurs fichiers de tres grosse taille, provoquant ainsi un DOS du serveur. Dans ce cas, on ne peut que blamer que l'auteur du programme. Ceci est possible dans, vraiment, n'importe quel langage. Inutile de comparer php avec quoi que se soit d'autre a ce niveau. Ca ne change rien ! php a un certain nombre de defaut qui lui sont propres. Mais ils sont independant de l'utilisation de php en tant que programmes sur un serveur web. > Je me > souviens avoir lu sur le site web d'un gourou célèbre, Eric Reymond, > auteur de "La cathédrale et le bazar" si je me souviens bien, que Phython > était, à son avis, mieux fait que Perl. Oui, c'est bien ce qu'il dit et son article decrit bien pourquoi il arrive a cette conclusion. J'ai lu l'article hier, mais je n'ai plus le lien. Je ne l'ai pas poste sur la liste pour ne pas creer de troll :-) > Si les gestionnaires de serveurs web ne prennent pas rapidement conscience > de ce phénomène, il pourrait y avoir un cataclysme, non? Un cataclysme qui > profiterait aux systèmes propriétaires. Vos avis? Prendre conscience de quoi ? Certains site sont mal administres, il est vrai. Mais pour la plupart, tu serais bein en paine d'acceder a quoi que se soit en dehors de ton environement... Par exemple, ne pas installer les modules de mail pour php n'enpechera pas un developpeur d'emuler le protocole SMTP... depuis son code... Aucun mechanisme n'empeche non plus un programmeur d'avoir un bug dans l'index d'un 'for' et d'engendrer une boucle infinie... c'est uen forme de DOS... Alors, l'environement hyper-mega securise... ne permet quasi plus rien... Ce qui est, a mon avis, beaucoup plus dangereux, ce sont les serveurs qui ont des ports SQL (MySQL, Postgress, MS*) ouverts sans connexion securisee... les mots de passes sont en clairs sur la ligne... si la connexion est effectue depuis un poste WiFi... je n'ai pas besoin de te faire de dessin. Ca me semble bien pire... et il y en a beaucoup plus que l'on ne croit. Il ne va de meme pour les connexion POP sur le port 110 au lieu d'une connexion POPs sur le port 995... etc. dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
