Bonjour,
je viens de lire sur fcs le fil "[Long] Pratiques de codage php et
webapps" (nov/déc 2004), très intéressant.
<HS, présentation du contexte>
J'ai écrit un cgi en Perl pour un intranet (donc 'a priori' pas de pb de
sécurité ha! ha! :-) Je viens de tenter de le sécuriser avec l'option
-T de Perl, je me heurte à quelques problèmes comme le refus de
$mon_rep = `pwd`; ("dans quel répertoire suis-je ?") ainsi que d'autres
liés aux modules que j'utilise (ie File::Temp).
</HS>
Ma question, amha indépendante de Perl :
Mes "formulaires" se résument à des boutons "submit", des boutons-radio
et des images cliquables (image.x, image.y)
Quels seraient d'après vous les problèmes potentiel ?
Si besoin d'explications supplémentaires :
- les "images cliquables" sont des cartes géographiques sur lesquelles
les coordonnées (image.x, image.y) permettent de retrouver les
coordonnées géographiques.
- les boutons-radio permettent un choix (du cgi) entre deux réponses
- les boutons "submit" renvoient leur "valeur faciale" (une
coordonnée-temps)
On Mon, 21 Mar 2005 21:11:16 +0000, Jean-Pierre Vidal wrote:
J'ai tenté de répondre en privé
Tiens, pas vu passer ... Note : "mon Reply-To" est valide, mais pas le "From".
1 - je crains de me faire jeter par les modérateurs (~600 lignes, dont ~400 en rapport avec le cgi)
Publication sur un site Web + lien.
(et il y a mon ego...)
T'inquiètes pas, ceux qui font ça pour le boulot ont l'habitude de devoir cajoler les développeurs après la restitution des résultats d'audit ;-)
- soit je poste dans 1 (jour | semaine | mois) une version "nettoyée" en fonction de ce que j'ai appris.
Ca me semble la meilleure solution, te permettant de progresser seul dans ton coin et d'économiser sur les ressources (gratuites) à consacrer à l'analyse après publication du code.
Nicob
On Mon, 21 Mar 2005 21:11:16 +0000, Jean-Pierre Vidal wrote:
J'ai tenté de répondre en privé
Tiens, pas vu passer ...
Note : "mon Reply-To" est valide, mais pas le "From".
1 - je crains de me faire jeter par les modérateurs (~600 lignes, dont
~400 en rapport avec le cgi)
Publication sur un site Web + lien.
(et il y a mon ego...)
T'inquiètes pas, ceux qui font ça pour le boulot ont l'habitude de
devoir cajoler les développeurs après la restitution des résultats
d'audit ;-)
- soit je poste dans 1 (jour | semaine | mois) une version "nettoyée"
en fonction de ce que j'ai appris.
Ca me semble la meilleure solution, te permettant de progresser seul dans
ton coin et d'économiser sur les ressources (gratuites) à consacrer à
l'analyse après publication du code.
On Mon, 21 Mar 2005 21:11:16 +0000, Jean-Pierre Vidal wrote:
J'ai tenté de répondre en privé
Tiens, pas vu passer ... Note : "mon Reply-To" est valide, mais pas le "From".
1 - je crains de me faire jeter par les modérateurs (~600 lignes, dont ~400 en rapport avec le cgi)
Publication sur un site Web + lien.
(et il y a mon ego...)
T'inquiètes pas, ceux qui font ça pour le boulot ont l'habitude de devoir cajoler les développeurs après la restitution des résultats d'audit ;-)
- soit je poste dans 1 (jour | semaine | mois) une version "nettoyée" en fonction de ce que j'ai appris.
Ca me semble la meilleure solution, te permettant de progresser seul dans ton coin et d'économiser sur les ressources (gratuites) à consacrer à l'analyse après publication du code.
Nicob
Jean-Pierre Vidal
Le Mon, 21 Mar 2005 22:04:22 +0000, Stephane Catteau a écrit :
Ce n'est pas tant le nombre de lignes qui importe ici, que le faible rapport avec le thème du forum. Donc si tu veux le publier, maintenant ou plus tard, je pense que le mieux est encore de le faire dans le forum <news://fr.comp.lang.perl>, quitte à revenir ensuite ici pour parler des points/problèmes en rapport avec la sécurité informatique.
Au vu des avis me redirigeant vers fclp, je me demande si je ne fais pas fausse route : je lis couramment fclp (ainsi que d'autres groupes relatifs à Perl), et j'y trouve la plupart du temps les réponses à mes questions avant même que j'éprouve le besoin de les poser. Ma question originelle se voulait indépendante de Perl. J'ai lu quelque part qu'un cgi pouvait être une faille de sécurité potentielle, que la plupart des FAI ne les acceptent pas, etc... J'ai compris au travers de vos réponses qu'il fallait se méfier des arguments d'appel, y compris ceux qu'on a mis en place soi-même. Si cela ne fait pas partie de la sécurité informatique, c'est que j'ai beaucoup à apprendre (de toute façon j'ai encore beaucoup à apprendre), mais aussi que je me suis trompé de ng.
Jean-Pierre
Le Mon, 21 Mar 2005 22:04:22 +0000, Stephane Catteau a écrit :
Ce n'est pas tant le nombre de lignes qui importe ici, que le faible
rapport avec le thème du forum. Donc si tu veux le publier, maintenant
ou plus tard, je pense que le mieux est encore de le faire dans le
forum <news://fr.comp.lang.perl>, quitte à revenir ensuite ici pour
parler des points/problèmes en rapport avec la sécurité informatique.
Au vu des avis me redirigeant vers fclp, je me demande si je ne fais pas
fausse route : je lis couramment fclp (ainsi que d'autres groupes relatifs
à Perl), et j'y trouve la plupart du temps les réponses à mes questions
avant même que j'éprouve le besoin de les poser. Ma question originelle
se voulait indépendante de Perl. J'ai lu quelque part qu'un cgi pouvait
être une faille de sécurité potentielle, que la plupart des FAI ne les
acceptent pas, etc... J'ai compris au travers de vos réponses qu'il
fallait se méfier des arguments d'appel, y compris ceux qu'on a mis en
place soi-même. Si cela ne fait pas partie de la sécurité informatique,
c'est que j'ai beaucoup à apprendre (de toute façon j'ai encore beaucoup
à apprendre), mais aussi que je me suis trompé de ng.
Le Mon, 21 Mar 2005 22:04:22 +0000, Stephane Catteau a écrit :
Ce n'est pas tant le nombre de lignes qui importe ici, que le faible rapport avec le thème du forum. Donc si tu veux le publier, maintenant ou plus tard, je pense que le mieux est encore de le faire dans le forum <news://fr.comp.lang.perl>, quitte à revenir ensuite ici pour parler des points/problèmes en rapport avec la sécurité informatique.
Au vu des avis me redirigeant vers fclp, je me demande si je ne fais pas fausse route : je lis couramment fclp (ainsi que d'autres groupes relatifs à Perl), et j'y trouve la plupart du temps les réponses à mes questions avant même que j'éprouve le besoin de les poser. Ma question originelle se voulait indépendante de Perl. J'ai lu quelque part qu'un cgi pouvait être une faille de sécurité potentielle, que la plupart des FAI ne les acceptent pas, etc... J'ai compris au travers de vos réponses qu'il fallait se méfier des arguments d'appel, y compris ceux qu'on a mis en place soi-même. Si cela ne fait pas partie de la sécurité informatique, c'est que j'ai beaucoup à apprendre (de toute façon j'ai encore beaucoup à apprendre), mais aussi que je me suis trompé de ng.
Jean-Pierre
Stephane Catteau
Jean-Pierre Vidal nous disait récement dans fr.comp.securite <news: :
[Réponse rapide par manque de temps, quelqu'un approfondira si nécessaire]
[...] Ma question originelle se voulait indépendante de Perl.
Et elle l'était en partie, mais ta proposition de publier le script pour approfondir les problèmes ne l'est plus.
[...] Si cela ne fait pas partie de la sécurité informatique,
Cela fait partie de la sécurité informatique, tant que cela reste global, c'est-à-dire valable pour tous les CGI quel que soit le langage utilisé. Cela reste une partie de la sécurité informatique lorsque l'on s'attache à un langage particulier. Mais, lorsque l'on publie un script dans son ensemble, surtout lorsqu'il fait plusieurs centaines de lignes, même si c'est dans le but d'avoir des commentaires concernant l'aspect sécurité du-dit script, il y a toujours quelqu'un pour parler aussi du langage en lui-même, ce qui devient hors-charte. De là les modérateurs se chopent la migraine, devant décider si un message 50% sécurité et 50% perl doit être approuvé, rejeté, renvoyer vers fclp, publié sur les deux, avec ou sans Fu2, et ainsi de suite. Au final il y a forcément partie pris, et certains messages sont acceptés à tort, tandis que certaines personnes se sentent lésées d'avoir vu leur message refusé alors qu'il n'était qu'à moitié hors-charte. En commençant la discussion sur fclp cela limite les dérives. Les personnes voulant répondre sur l'aspect Perl le feront normalement sur le forum initial, et ceux voulant répondre d'un point de vu plus accès sur la sécurité, pourront sans problème crossposter sur fcs. Même chose avec la méthode de Cédric, à savoir mettre le script sur un site et en donner le lien dans ton message.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Jean-Pierre Vidal nous disait récement dans fr.comp.securite
<news:pan.2005.03.22.21.27.28.534011@free.fr> :
[Réponse rapide par manque de temps, quelqu'un approfondira si
nécessaire]
[...] Ma question originelle se voulait indépendante de Perl.
Et elle l'était en partie, mais ta proposition de publier le script
pour approfondir les problèmes ne l'est plus.
[...] Si cela ne fait pas partie de la sécurité informatique,
Cela fait partie de la sécurité informatique, tant que cela reste
global, c'est-à-dire valable pour tous les CGI quel que soit le langage
utilisé. Cela reste une partie de la sécurité informatique lorsque l'on
s'attache à un langage particulier. Mais, lorsque l'on publie un script
dans son ensemble, surtout lorsqu'il fait plusieurs centaines de
lignes, même si c'est dans le but d'avoir des commentaires concernant
l'aspect sécurité du-dit script, il y a toujours quelqu'un pour parler
aussi du langage en lui-même, ce qui devient hors-charte. De là les
modérateurs se chopent la migraine, devant décider si un message 50%
sécurité et 50% perl doit être approuvé, rejeté, renvoyer vers fclp,
publié sur les deux, avec ou sans Fu2, et ainsi de suite. Au final il y
a forcément partie pris, et certains messages sont acceptés à tort,
tandis que certaines personnes se sentent lésées d'avoir vu leur
message refusé alors qu'il n'était qu'à moitié hors-charte.
En commençant la discussion sur fclp cela limite les dérives. Les
personnes voulant répondre sur l'aspect Perl le feront normalement sur
le forum initial, et ceux voulant répondre d'un point de vu plus accès
sur la sécurité, pourront sans problème crossposter sur fcs. Même chose
avec la méthode de Cédric, à savoir mettre le script sur un site et en
donner le lien dans ton message.
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos
Jean-Pierre Vidal nous disait récement dans fr.comp.securite <news: :
[Réponse rapide par manque de temps, quelqu'un approfondira si nécessaire]
[...] Ma question originelle se voulait indépendante de Perl.
Et elle l'était en partie, mais ta proposition de publier le script pour approfondir les problèmes ne l'est plus.
[...] Si cela ne fait pas partie de la sécurité informatique,
Cela fait partie de la sécurité informatique, tant que cela reste global, c'est-à-dire valable pour tous les CGI quel que soit le langage utilisé. Cela reste une partie de la sécurité informatique lorsque l'on s'attache à un langage particulier. Mais, lorsque l'on publie un script dans son ensemble, surtout lorsqu'il fait plusieurs centaines de lignes, même si c'est dans le but d'avoir des commentaires concernant l'aspect sécurité du-dit script, il y a toujours quelqu'un pour parler aussi du langage en lui-même, ce qui devient hors-charte. De là les modérateurs se chopent la migraine, devant décider si un message 50% sécurité et 50% perl doit être approuvé, rejeté, renvoyer vers fclp, publié sur les deux, avec ou sans Fu2, et ainsi de suite. Au final il y a forcément partie pris, et certains messages sont acceptés à tort, tandis que certaines personnes se sentent lésées d'avoir vu leur message refusé alors qu'il n'était qu'à moitié hors-charte. En commençant la discussion sur fclp cela limite les dérives. Les personnes voulant répondre sur l'aspect Perl le feront normalement sur le forum initial, et ceux voulant répondre d'un point de vu plus accès sur la sécurité, pourront sans problème crossposter sur fcs. Même chose avec la méthode de Cédric, à savoir mettre le script sur un site et en donner le lien dans ton message.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
