Ma petite parcelle d'Internet...

1. Le vendredi 16 mars 2007 à 17:25, par jme

Suhosin est pas mal mais il augmente grandement (genre beaucoup) l'empreinte mémoire des scripts php... Et ça c'est pô cool. Par contre, php compilé avec propolice et suhosin, ça permet de gagner un peu de temps. Ce qui me permet de rebondir sur ton avis : je suis totalement d'accord avec toi, le MoPB est relativement vindicatif... Et personnellement j'en ai _marre_ de recompiler php et ses potes tous les 4 matins. Dommage qu'il n'y ai pas de dotclear sous .net comme ça un bon IIS6 et on en parle plus (ça c'est le troll du vendredi car le vendredi c'est permis).

ps: It is not just a crash :p

2. Le vendredi 16 mars 2007 à 17:56, par jme

@sid : Tu aurais pu corriger les fautes... Je viens de battre mon record dans le commentaire précédent.

3. Le samedi 17 mars 2007 à 11:34, par Tyop?

@Sid: T'es pas gentil d'avoir diffusé l'info pour le MOVB, maintenant il est (presque) obligé de le faire. Bon je commence par quoi Silicon.fr ou TheInquirer.fr?

Maintenant pour le MOPB, il a dit si je me souviens bien que le php a un probleme à la source. On le voit bien quand il explique (par exemple) tous les moyens de détourner open_basedir. Moi je pense très fortement au problème des magic quotes, où lorsqu\\\\\\\\'on se retrouve dans des situations aberrantes qui mènent souvent à des jeux dangereux.
Si bien qu'aujourd'hui, lorsque je me retrouve à développer en php (Oui ça arrive !), je le désactive tout simplement, afin de le faire moi même et ainsi éviter d'avoir à me poser des questions.
Je vais me faire taper dessus, mais le PHP a un problème de base : Pour faire quelque chose de propre (secure) il faut être au courant, avoir des réflexes comme en C Or Mr tout le monde code en PHP car c'est simple.
Resultat? Allez lire les archives BTraq.

Et pour continuer sur @jme: Je t'aurais bien propose RoR, mais c'est has been, comme tout ce qui est Microsoft. Va faire du pijama.

4. Le lundi 19 mars 2007 à 10:17, par bartavelle

Le pire n'est pas tant que M. Tout-le-monde s'improvise dév. PHP, mais que M. Tout-le-monde s'improvise leet PHP haxor, et trouve des vulns qui n'existent pas, ne peuvent être exploitées que dans des cas très particuliers, croie corriger des vulns sans rien comprendre, etc, etc ...

En ce qui concerne les bypass de openbasedir, c'est complètement illusoire de penser que ces trucs (et le safe mode) apportent une sécurité importante. Si on veut être sur, faut mettre des ACL à la grsec.

5. Le lundi 19 mars 2007 à 14:20, par Tyop?

Troll tres interessant, surtout lorsqu'on voit que les reelles vulns sur le domaine passent inapercues devant le flot de posts inutiles. Je veux bien partager mes regles de spams sur le sujet si interesse (^-^)

Réponse de Sid

surtout lorsqu'on voit que les reelles vulns sur le domaine passent inapercues

C'est clair. Et on ne parle pas non plus des vulns qui n'en sont pas, genre une récente SQL injection dans Wordpress... Sans compter celles pour lesquelles il faut déjà être admin du site, celles qui ne sont que l'info leak, ou encore la pléthore qui nécessitent et le register_globals et le allow_url_fopen et que les includes soient accessibles directement via une URL...

6. Le lundi 19 mars 2007 à 17:24, par jme

Dans le genre : je publie un advisory pour me la péter, y'a ce genre de vulnérabilité que l'on voit de plus en plus.

It is worth noting that in order to exploit the problem
highlighted by the report, the attacking user must satisfy
the following conditions:
   * Must already have moderator privileges
   * Must share the same IP address (or the number of IP
     octets specified in the Admin Control Panel for IP
     address matching) with an existing administrator 
     who is currently logged in to the Admin Control
     Panel
   * Must know the Alt-IP and user agent (exact browser
     identification) of the administrator
   * OR must know the license number of the site being
     attacked''

http://www.vbulletin-faq.com/forum/showthread.php?t=7297

7. Le lundi 19 mars 2007 à 21:52, par Yann

Comme tu le dis si bien, je suis pratiquement sûr que c'est une revanche de Stefan Esser. Mais en tout cas je suis ce MoPB avec intérêt.

Comme le dit bartavelle, beaucoup de ses annonces liées à une application PHP spécifique polluent les mailings, mais je pense que le problème vient bien de ceux qui développent ses applications, plutôt que ceux qui publient les vulnérabilités.

Je travaille avec pas mal de développeurs PHP, et ça fait froid dans le dos quand je vois comment ils développent, ils ont pratiquement aucune notion de base en sécurité. Souvent ses développeurs sortent des écoles, on les met sur ce type de développement car justement c'est simple, et il ne faut pas beaucoup d'expérience. Et une fois qu'ils ont acquis un peu d'expérience, on les mets sur des projets plus importants style J2EE, ou DOTNET.... C'est ce que je remarque au quotidien, mais je vois que c'est presque partout le même problème...

Réponse de Sid

beaucoup de ses annonces liées à une application PHP spécifique polluent les mailings

Je ne trouve pas que Stefan Esser abuse, même quand il publie sur des applications PHP. Si tu regardes ce qu'il publie d'habitude dans ce domaine, c'est assez intéressant comparé à la tonne de XSS qu'il a dû trouver en même temps et que d'autres publient à la pelle.

Sinon, côté développeurs d'applications Web, que je n'ai pourtant pas l'habitude de défendre, je dirai que la dispersion technologique dans le domaine ne les aide pas. Ça demande du temps et des efforts de bien maîtriser un langage, même relativement simple comme PHP. Combien on en a aujourd'hui pour pondre de la page web ? PHP, ASP, .Net, Java, Javascript, Perl, Python, Ruby, etc. Auxquels il faut ajouter des choses comme J2EE, XML, SOAP, AJAX, XSLT, etc.

C'est tout une machine à introduire de nouveaux schémas de programmation et d'architecture qu'il faut absorber à une vitesse folle. Et à part quelques spécialistes qui passent leur temps à creuser ses choses là, personne ne peut décemment suivre le rythme avec des projets en pagaille à côté.

Si on ajoute les problèmes de cnfiguration du système, du serveur web, de l'interpréteur, de la base de données et du cadran solaire, ça fait beaucoup pour un seul homme. Combien de boîtes sont véritablement sizées pour gérer tout ça en un produit final cohérent ? Pas des masses...

8. Le mardi 20 mars 2007 à 11:22, par Yann

Désolé, je me suis mal exprimé, je ne voulais pas critiquer Stefan Esser, mais plutôt les personnes qui publient (polluent) les vunérabilités, comme certaines XSS comme tu cites.

Ta remarque concernant les développeurs est toute à fait correctement. Je n'accuse pas directement les développeurs, mais la façon dont on les utilises sur certains projets et la formation qu'on leur donne concernant les aspects de sécurité. Et je travaille justement avec une grande équipe de dev qui utilisent toutes les dernières technologies WEB à la mode, ben l'intégration, l'exploitation et la communication, plus encore l'aspect sécurité sont pas à gérer tous les jours.

En gros, le problème est loin d'être simple à régler :)

9. Le mardi 20 mars 2007 à 16:32, par Tyop?

Yann : En gros, le problème est loin d'être simple à régler :)

Commencer a considerer la securite comme un point important de cahier des charges. Simple. Tout va aller mieux apres (^-^).

10. Le mardi 20 mars 2007 à 21:26, par Yann

Tyop : Ah si seulement c'était aussi simple :) Depuis quelques années, la sécurité fait partit intégrante de chaque projet, mais pas de la même manière. Tout dépend de l'effort que les managers veulent bien y mettre, et aussi du budget a disposition.

Mais c'est justement le fait que cela ne soit pas trivial qui le rend intéressant.

11. Le mercredi 21 mars 2007 à 10:31, par jme

D'ailleurs, quelqu'un connaît un « framework » de dev sécurisé sous php avec contrôle des données utilisateurs, etc ?

12. Le jeudi 22 mars 2007 à 15:22, par bartavelle

Le truc qui fait toujours rire c'est "PHP on tracks". Il ne faut surtout pas lire les sources.

13. Le vendredi 30 mars 2007 à 20:10, par fx

@Tyop? : T'es pas gentil d'avoir diffusé l'info pour le MOVB, maintenant il est (presque) obligé de le faire. Bon je commence par quoi Silicon.fr ou TheInquirer.fr?

En tous cas pas par SecurityFocus : trop de concurrence :)

14. Le samedi 31 mars 2007 à 00:53, par Tyop?

@fx : On verra. Pour le moment, je vois le mot week, et tout est en anglais. J'en ai marre de lire de l'anglais.
Bonne chance quand meme.

15. Le samedi 31 mars 2007 à 21:08, par fx

@Tyop? : Bonne chance

??? Est-ce que tu me prendrais pour quelqu'un d'autre ? Enfin, merci quand meme pour eux.

16. Le dimanche 1 avril 2007 à 00:55, par Tyop?

@fx: Oups j'ai mal compris, je pensais que tu en faisais partie.
Je m'excuse aussi pour le caractere aigri de mon message, qui n'etait pas du tout voulu (^-^).
Bonne chance a eux donc.