Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

IPBR-FR _ Suggestions _ La s�curit� !?

Ecrit par: Zorlakk vendredi 29 avril 2005 � 07:42

Hello,

Je post pas souvent ici, mais j'aime bien lire quelques trucs. D'ailleurs, une question que je me demande depuis quelques temps. Quel est le suivi de s�curit� au niveau des Mods ?

Naturellement, je parle plus des Mods majeures comme Links System, Download System, les diff�rents portails (BPortal, Portal et co.).

N'ayant pas toujours le temps de me plonger dans le code et parfois ne trouvant pas toujours les trucs "� risques" dans les Mods.

Il serait int�ressant, d'offrir un suivi des Mods soit par vous m�mes (l'�quipe et membre). D'�valuer et de contacter le cr�ateur pour lui demande : Euh, hello... hmmm, est-ce que tu fais un suivi des possibles trous de s�cu dans tes trucs ?

Voil�...

Ecrit par: Melkendar vendredi 29 avril 2005 � 09:06

Le probl�me est que la plupart (je dis bien la plupart) des auteurs de mods �trangers ne nous �coutent pas et ne nous prennent pas en compte.

J'ai d�j� corrig� quelques bugs dans plusieurs mods les ait fourni en MP ou sur le forum d'Invisionize mais ils n'ont jamais �t� enlev�... Les versions que nous proposons ici sont cependant d�buggu�s.

J'avais contact� un des Managements d'Invisionize pour tenter de cr�er des liens plus soud�s entre les diff�rentes communaut�s �trang�res...

Jamais re�u de r�ponse

Ecrit par: Youp3 vendredi 29 avril 2005 � 10:12

En ce qui concerne la s�curit� du code, autant dire que nous ne faisons pas trop de v�rification sur ce point.
Par contre la s�curit� li�e aux droits qu'ont les membres de faire telle ou telle action propos�e par une mod, oui nous testons �� et nous essayons de les corriger autant que possible, avec les limitations qu'indique Melkendar vis � vis des auteurs de ces mods.

Ecrit par: LLaumgui vendredi 29 avril 2005 � 12:14

Pour info, mais mod sont tous d�velopp� en register_global = Off et en typant mes variables prise � partir de super variables... Donc d�j� tu limite les risques...

Ecrit par: Zorlakk vendredi 29 avril 2005 � 19:12

hmmm, int�ressant. Reste que c'est dommage qu'Invisionize ne veulent pas faire un "partenariat" avec IPBR-FR.

Au niveau s�curit�, je suis toujours spectique sur certaines Mods. Disons que les auteurs n'en parlent pas beaucoup, voir jamais.

D'ailleurs, je remarque qu'Invisionize ne font absolument aucuns contr�les de qualit�s des Mods, ne parle pratiquement jamais des mises � jour de s�cu sur leurs forums... hmmm,...

� suivre...

Ecrit par: LLaumgui vendredi 29 avril 2005 � 19:18

Quanti� vs Qualit� --> http://ipb2.ipbr-fr.com/index.php?showtopic=561&view=findpost&p=2793

Ecrit par: Zorlakk vendredi 29 avril 2005 � 19:19

QUOTE(LLaumgui @ vendredi 29 avril 2005 � 07:14)

Pour info, mais mod sont tous d�velopp� en register_global = Off et en typant mes variables prise � partir de super variables... Donc d�j� tu limite les risques...

J'ai r�cup�r� quelques trucs chez Invisionize et 1 ici, j'aime bien... tr�s clean.

Ecrit par: Zorlakk vendredi 29 avril 2005 � 19:21

QUOTE(LLaumgui @ vendredi 29 avril 2005 � 14:18)

Quanti� vs Qualit� --> http://ipb2.ipbr-fr.com/index.php?showtopic=561&view=findpost&p=2793

Oui, j'ai lu... et j'ai toujours trouv� le syst�me de feedback plus qu'instructif et professionnel qu'Invisionize. Ici, quand la Mod sort c'est que la Mod a pass� le test.

Ecrit par: Fantome vendredi 29 avril 2005 � 19:26

Le probl�me c'est que tout les programmateur ne sont pas des pro(moi le premier) et donc la s�curit�...

Ecrit par: Zorlakk vendredi 29 avril 2005 � 19:30

QUOTE(Fantome @ vendredi 29 avril 2005 � 14:26)

Le probl�me c'est que tout les programmateur ne sont pas des pro(moi le premier) et donc la s�curit�...

Mais l� est le probl�me en g�n�ral des 95% des Mods. Si une Mod peut �tre n�faste, alors, �a peut mettre sur les genous un serveur et tous les sites Internet dessus...

Alors, oui... c'est jolie d'avoir des Mods ici ou bien chez Invisionize mais si les cr�ateurs ne s'occuppent pas de s�curiser leurs Mods... alors, autant jamais mettre � jour IPB avec les majs de s�cu vu que les Mods d'install�es sont bourr�s de trous de s�cu.

Je g�n�ralise beaucoup, mais la situation peut �tre vraie.

Ecrit par: Fantome vendredi 29 avril 2005 � 19:43

Pour ma part j'ai commencer a m'y int�rsser mais je pense que �a demande deja un bon niveau de programation et surtout de la volont�.
Donc si tu as des site ou trouver des information pour de d�butant je suis biensur preneur.

Ecrit par: Zorlakk vendredi 29 avril 2005 � 19:55

QUOTE(Fantome @ vendredi 29 avril 2005 � 14:43)

je suis biensur preneur.

Oui, je viens de me lancer depuis quelques temps dans la v�rification au niveau de la s�cu. �tant principalement infographe/graphiste/int�grateur Web ... et derni�rement, terminer mes cours de prog (webmestre)... mais au niveau s�curit�, hmmmm, ont a pas vu grand chose malheureusement et de tr�s constructif l� dessus (disons que j'ai du pass� un peu rapidement l� dessus pendant mes cours.

) Mais bon,... je me documente de plus en plus l� dessus.

Reste que faire de la correction et de la v�rification au niveau de la s�cu n'est pas si facile que �a. C'est l� que je bloque sur les m�thodes... sans oublier lorsqu'on trouve un bug et que la solution n'est pas disponible entre nos oreilles...

Ecrit par: Fabien samedi 30 avril 2005 � 09:55

Effectivement, �a serait int�ressant d'avoir une sorte de Guid pour �viter les failles de s�curit� comme "d�velopper en register_global = Off".

Si vous avez d'autres astuces, postez-les ici

Ecrit par: LLaumgui samedi 30 avril 2005 � 10:45

En ce moment, je travail sur la s�curisation d'un site... Si tu veux, je peux te faire un post explicatif des gros truc � pas faire...

http://www.llaumgui.com/index.php/2005/04/19/31-boutique-en-ligne-autopsie-dune-faille-de-securite --> Site pro d�velopp� par des pro que je tente de s�curis� depuis 2 mois... Mais le passif est t�lement lourd que plus je bouche les failles plus j'en d�couvre...

Ecrit par: Fabien samedi 30 avril 2005 � 11:34

QUOTE

En ce moment, je travail sur la s�curisation d'un site... Si tu veux, je peux te faire un post explicatif des gros truc � pas faire...

Je veux bien

QUOTE

http://www.llaumgui.com/index.php/2005/04/...lle-de-securite --> Site pro d�velopp� par des pro que je tente de s�curis� depuis 2 mois... Mais le passif est t�lement lourd que plus je bouche les failles plus j'en d�couvre...

J'ai lu ce billet y'a un moment d�j�. Tr�s int�ressant

Ecrit par: Fantome samedi 30 avril 2005 � 13:48

Interessant le billet.

Ecrit par: Fantome samedi 30 avril 2005 � 20:37

Voila un petit article qui permet de poser certaine base, je pense que �a peut vous int�resser. http://thierrylhomme.developpez.com/php/php_secure/

Ecrit par: Zorlakk dimanche 01 mai 2005 � 06:58

Int�ressant... hmmm, tr�s int�ressant. Le lien + le billet... belle trouvaille/d�duction le truc de l'extension Web Developer avec les forms hidden.

int�ressant...

Ecrit par: prolag dimanche 01 mai 2005 � 14:02

Je pense qu'il y a mod et mod
Car c'est une p'tite modif de 3 fois rien il ya pas de grande chance de trou de secu
Mais c'est vrai que pour les trucs comme les gestionnaires de telechargements, de lien, qui font pas mal de ligne de code c'est deja beaucoup plus limite

Pour mes mods je fait assez attention surtout au niveau des permissions (une interface d'admin accessible facilement par un utilisateur normal..)

Ecrit par: LLaumgui dimanche 01 mai 2005 � 22:38

Bon, je me suis lanc� dans l'�criture d'un billet pour exprimer http://www.llaumgui.com/index.php/2005/05/01/32-bien-debuter-le-developpement-dune-application-web-niveau-securite... C'est vraiement les bases, je parles pas de toutes les failles incluses par une mauvaise utilisation des librairie GD ou autres...

Prochaine �tapes un billet sur les injonctions SQL...

Ecrit par: Fantome jeudi 05 mai 2005 � 10:46

Merci pour c'est principe de base.