Solutions
PhpSecInfo audite la sécurité de vos serveurs
Par Jerome Saiz, le 27 oct 2006 à 13:11:00.
Webmasters, vous utilisez PHP ? Essayez alors PhpSecInfo, un projet Open Source conçu pour contrôler les points de sécurité essentiels de votre configuration PHP. Bien entendu, il ne s'agit pas d'un audit pur et dur, mais PhpSecInfo permet de montrer du doigt les erreurs de configuration les plus courantes.
Le projet PhpSecInfo se télécharge et s'installe en quelques secondes. Il suffit alors de pointer un navigateur sur le répertoire d'installation pour découvrir une page bâtie sur un modèle bien connu : celui de la sortie de la fonction
phpinfo(). Difficile de faire plus simple et, surtout, plus lisible !Les informations présentées ne concernent cependant pas la configuration générale de PHP mais uniquement ses réglages de sécurité. Pour cela, PhpSecInfo se contente d'interpréter le fichier
php.ini. Il sera donc incapable de déceler les erreurs dans vos propres applications (telles que l'injection d'en-têtes ou la mauvaise gestion des includes).Mais ses commentaires n'en sont pas moins précieux. PhpSecInfo passe ainsi en revue les erreurs de configuration les plus courantes parmi celles qui affaiblissent la sécurité de PHP. On y trouve de grands classiques tel que l'activation des variables globales et d'autres erreurs plus subtiles, telles que l'affichage des erreurs PHP sur un site en production ou le recours à
magic_quotes_gpc pour se faciliter la vie. La fonction audite également d'autres réglages souvent laissés par défaut et qui ont un impact fort sur la sécurité du serveur, tel que la non-activation de la directive Open_Basedir, ou la mauvaise gestion du répertoire temporaire de PHP (une plaie sur un serveur mutualisé).Enfin, PhpSecInfo passe en revue les réglages liés à la limitation de l'occupation des ressources systèmes (usage mémoire, taille maximale des requêtes POST ou des téléchargements, etc...).
PhpSecInfo reprend à son avantage la clarté de l'affichage bien connu de phpinfo()
Bien que l'usage de PhpSecInfo ne soit en rien une garantie de sécurité, il permettra aux webmestres les moins curieux et les moins intéressés par la configuration de PHP de combler au moins les failles les plus stupides.
Plus d'information
- Télécharger PhpSecInfo (en anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssDécès de Christophe Pipparelli
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
