Ca signifie que 1&1 a mis register_globals à Off par défaut, ils sont courageux.
Frédéric.
Bonjour,
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
Ca signifie que 1&1 a mis register_globals à Off par défaut, ils sont
courageux.
Frédéric.
Bonjour,
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une
question de sécurité.
Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on"
pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à
la sécurité.
Ca signifie que 1&1 a mis register_globals à Off par défaut, ils sont courageux.
Frédéric.
Bonjour,
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
bretz
Christophe Baegert
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
Cordialement,
Christophe Baegert
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une
question de sécurité.
Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à
"on" pour tous les développeurs et ils sont nombreux qui préfèrent la
facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à
chaque client, mais imposer off à tous ses clients, ce n'est plus du
courage, c'est de la témérité !!! On trouve tous les jours des permissions
à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du
site, parce que l'immense majorité des développeurs d'applis disent "faites
chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité
ce n'est pas vendeur !
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
Cordialement,
Christophe Baegert
Frédéric VANNIÈRE
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
C'est bien mieux de mettre à Off, mais si je le fait je vais recevoir 200 coups de téléphone pour dire que le site ne fonctionne plus.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une
question de sécurité.
Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à
"on" pour tous les développeurs et ils sont nombreux qui préfèrent la
facilité à la sécurité.
C'est bien mieux de mettre à Off, mais si je le fait je vais
recevoir 200 coups de téléphone pour dire que le site ne fonctionne plus.
Frédéric.
--
Frédéric VANNIERE 231 rue Saint-Honoré
Directeur Technique 75001 PARIS - FRANCE
PLANET-WORK Tél : 0891 024 424
http://www.planet-work.com Fax : 0143 461 199
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
C'est bien mieux de mettre à Off, mais si je le fait je vais recevoir 200 coups de téléphone pour dire que le site ne fonctionne plus.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
FightClub!
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
#find /home -mode 0777 -exec rm {} ;
Cordialement,
Christophe Baegert
bretz wrote:
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une
question de sécurité.
Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à
"on" pour tous les développeurs et ils sont nombreux qui préfèrent la
facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à
chaque client, mais imposer off à tous ses clients, ce n'est plus du
courage, c'est de la témérité !!! On trouve tous les jours des permissions
à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du
site, parce que l'immense majorité des développeurs d'applis disent "faites
chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité
ce n'est pas vendeur !
Ne pensez-vous pas que register_globals à "off" est nécessaire pour une question de sécurité. Mais je reconnais que c'est plus aisé pour un hébergeur de le mettre à "on" pour tous les développeurs et ils sont nombreux qui préfèrent la facilité à la sécurité.
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
#find /home -mode 0777 -exec rm {} ;
Cordialement,
Christophe Baegert
Dominique ROUSSEAU
Le mer, 05 avr 2006 at 13:45 GMT, Christophe Baegert a écrit :
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
Dom
Le mer, 05 avr 2006 at 13:45 GMT, Christophe Baegert <cbaegert-pas-de-spam@europeanservers.net> a écrit :
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à
chaque client, mais imposer off à tous ses clients, ce n'est plus du
courage, c'est de la témérité !!! On trouve tous les jours des permissions
à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du
site, parce que l'immense majorité des développeurs d'applis disent "faites
chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité
ce n'est pas vendeur !
Sur nos hébergements, le wrapper crie, quand on a des permissions trop
laxistes sur le script ou le répertoire.
Du coup les clients appellent, nous disent « mais euh, sur easyphp ça
fonctionne », et on leur explique, et finalement tout le monde est
content.
Le mer, 05 avr 2006 at 13:45 GMT, Christophe Baegert a écrit :
Ce n'est pas plus aisé, c'est obligatoire. Nous on a laissé le choix à chaque client, mais imposer off à tous ses clients, ce n'est plus du courage, c'est de la témérité !!! On trouve tous les jours des permissions à 777 sur nos hébergements qui tournent pourtant sous l'utilisateur du site, parce que l'immense majorité des développeurs d'applis disent "faites chmod 777", alors les utilisateurs suivent. C'est bien connu, la sécurité ce n'est pas vendeur !
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
Dom
Frédéric VANNIÈRE
Dominique ROUSSEAU wrote:
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers) et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
Dominique ROUSSEAU wrote:
Sur nos hébergements, le wrapper crie, quand on a des permissions trop
laxistes sur le script ou le répertoire.
Du coup les clients appellent, nous disent « mais euh, sur easyphp ça
fonctionne », et on leur explique, et finalement tout le monde est
content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer
aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne
nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers)
et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu
augmenté.
Frédéric.
--
Frédéric VANNIERE 231 rue Saint-Honoré
Directeur Technique 75001 PARIS - FRANCE
PLANET-WORK Tél : 0891 024 424
http://www.planet-work.com Fax : 0143 461 199
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers) et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
Dominique ROUSSEAU
Le mer, 05 avr 2006 at 14:11 GMT, Frédéric VANNIÈRE a écrit :
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Et ça a pas l'air de te chagriner plus que ça......
Le mer, 05 avr 2006 at 14:11 GMT, Frédéric VANNIÈRE <f.vanniere@planet-work.com> a écrit :
Le gros inconvénient c'est que le nombre de sites hackés a un peu
augmenté.
Et ça a pas l'air de te chagriner plus que ça......
Le mer, 05 avr 2006 at 14:11 GMT, Frédéric VANNIÈRE a écrit :
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Et ça a pas l'air de te chagriner plus que ça......
nonono
Etrange mais un phpinfo m'indique un register_globals off.
Et pourtant j'ai réglé le pb de cette facon....
<? //si tu veux que ca affiche rien enleve cette ligne. //si tu veux une redicrection appel moi import_request_variables('p', 'p_'); $text="nom: ".$p_nom.chr(10).chr(13)."Prenom: ".$p_prenom.chr(10).chr(13)."Mail: ".$p_mail.chr(10).chr(13); mail("", "Inscription",$text); header("Location:merci.htm"); ?>
Alors la je ne pige plus
"Frédéric VANNIÈRE" a écrit dans le message de news: 4433cffc$0$2064$
Dominique ROUSSEAU wrote:
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers) et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
Etrange mais un phpinfo m'indique un register_globals off.
Et pourtant j'ai réglé le pb de cette facon....
<?
//si tu veux que ca affiche rien enleve cette ligne.
//si tu veux une redicrection appel moi
import_request_variables('p', 'p_');
$text="nom: ".$p_nom.chr(10).chr(13)."Prenom:
".$p_prenom.chr(10).chr(13)."Mail: ".$p_mail.chr(10).chr(13);
mail("inscription@20h00.info", "Inscription",$text);
header("Location:merci.htm");
?>
Alors la je ne pige plus
"Frédéric VANNIÈRE" <f.vanniere@planet-work.com> a écrit dans le message de
news: 4433cffc$0$2064$626a54ce@news.free.fr...
Dominique ROUSSEAU wrote:
Sur nos hébergements, le wrapper crie, quand on a des permissions trop
laxistes sur le script ou le répertoire.
Du coup les clients appellent, nous disent « mais euh, sur easyphp ça
fonctionne », et on leur explique, et finalement tout le monde est
content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer
aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne
nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers)
et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu
augmenté.
Frédéric.
--
Frédéric VANNIERE 231 rue Saint-Honoré
Directeur Technique 75001 PARIS - FRANCE
PLANET-WORK Tél : 0891 024 424
http://www.planet-work.com Fax : 0143 461 199
Etrange mais un phpinfo m'indique un register_globals off.
Et pourtant j'ai réglé le pb de cette facon....
<? //si tu veux que ca affiche rien enleve cette ligne. //si tu veux une redicrection appel moi import_request_variables('p', 'p_'); $text="nom: ".$p_nom.chr(10).chr(13)."Prenom: ".$p_prenom.chr(10).chr(13)."Mail: ".$p_mail.chr(10).chr(13); mail("", "Inscription",$text); header("Location:merci.htm"); ?>
Alors la je ne pige plus
"Frédéric VANNIÈRE" a écrit dans le message de news: 4433cffc$0$2064$
Dominique ROUSSEAU wrote:
Sur nos hébergements, le wrapper crie, quand on a des permissions trop laxistes sur le script ou le répertoire. Du coup les clients appellent, nous disent « mais euh, sur easyphp ça fonctionne », et on leur explique, et finalement tout le monde est content.
On faisait ça au début, au bout d'un moment on en a marre d'expliquer aux clients comment changer les permissions.
Maintenant PHP peut écrire partout par défaut (775) et personne ne nous embête.
PHP utilise le safe_mode et open_basedir (www-data/www-data)
En mode CGI on a les permissions unix classique (user1/webusers) et l'utilisateur ne peut modifier que ses fichiers.
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Frédéric.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
Frédéric VANNIÈRE
Dominique ROUSSEAU wrote:
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Et ça a pas l'air de te chagriner plus que ça......
Il y a une astuce ;)
Un scanner de failles PHP (phpBB, mambo, joomla ..) exécuté 1 fois par semaine, si le client met pas à jour son bordel au bout de un mois ... couic ...
Le problème c'est que cette daube de phpBB ne se met pas à jour complètement. Tu peux avoir un forum qui dit être en version 2.0.19 alors que certains fichiers comme viewtopic.php sont en version 2.0.10 avec une jolie faille de sécu.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
Dominique ROUSSEAU wrote:
Le gros inconvénient c'est que le nombre de sites hackés a un peu
augmenté.
Et ça a pas l'air de te chagriner plus que ça......
Il y a une astuce ;)
Un scanner de failles PHP (phpBB, mambo, joomla ..)
exécuté 1 fois par semaine, si le client met pas à
jour son bordel au bout de un mois ... couic ...
Le problème c'est que cette daube de phpBB ne se met
pas à jour complètement. Tu peux avoir un forum qui dit
être en version 2.0.19 alors que certains fichiers
comme viewtopic.php sont en version 2.0.10 avec une jolie
faille de sécu.
--
Frédéric VANNIERE 231 rue Saint-Honoré
Directeur Technique 75001 PARIS - FRANCE
PLANET-WORK Tél : 0891 024 424
http://www.planet-work.com Fax : 0143 461 199
Le gros inconvénient c'est que le nombre de sites hackés a un peu augmenté.
Et ça a pas l'air de te chagriner plus que ça......
Il y a une astuce ;)
Un scanner de failles PHP (phpBB, mambo, joomla ..) exécuté 1 fois par semaine, si le client met pas à jour son bordel au bout de un mois ... couic ...
Le problème c'est que cette daube de phpBB ne se met pas à jour complètement. Tu peux avoir un forum qui dit être en version 2.0.19 alors que certains fichiers comme viewtopic.php sont en version 2.0.10 avec une jolie faille de sécu.
-- Frédéric VANNIERE 231 rue Saint-Honoré Directeur Technique 75001 PARIS - FRANCE PLANET-WORK Tél : 0891 024 424 http://www.planet-work.com Fax : 0143 461 199
