En ligne · [ Standard ] · Linéaire+ La sécurité !?, Au niveau des Mods installées...

[Zorlakk]

Hello,

Je post pas souvent ici, mais j'aime bien lire quelques trucs. D'ailleurs, une question que je me demande depuis quelques temps. Quel est le suivi de sécurité au niveau des Mods ?

Naturellement, je parle plus des Mods majeures comme Links System, Download System, les différents portails (BPortal, Portal et co.).

N'ayant pas toujours le temps de me plonger dans le code et parfois ne trouvant pas toujours les trucs "à risques" dans les Mods.

Il serait intéressant, d'offrir un suivi des Mods soit par vous mêmes (l'équipe et membre). D'évaluer et de contacter le créateur pour lui demande : Euh, hello... hmmm, est-ce que tu fais un suivi des possibles trous de sécu dans tes trucs ?

Voilà...

[Melkendar]

Le problème est que la plupart (je dis bien la plupart) des auteurs de mods étrangers ne nous écoutent pas et ne nous prennent pas en compte.

J'ai déjà corrigé quelques bugs dans plusieurs mods les ait fourni en MP ou sur le forum d'Invisionize mais ils n'ont jamais été enlevé... Les versions que nous proposons ici sont cependant débuggués.

J'avais contacté un des Managements d'Invisionize pour tenter de créer des liens plus soudés entre les différentes communautés étrangères...

Jamais reçu de réponse

[Youp3]

En ce qui concerne la sécurité du code, autant dire que nous ne faisons pas trop de vérification sur ce point.
Par contre la sécurité liée aux droits qu'ont les membres de faire telle ou telle action proposée par une mod, oui nous testons çà et nous essayons de les corriger autant que possible, avec les limitations qu'indique Melkendar vis à vis des auteurs de ces mods.

[LLaumgui]

Pour info, mais mod sont tous développé en register_global = Off et en typant mes variables prise à partir de super variables... Donc déjà tu limite les risques...

[Zorlakk]

hmmm, intéressant. Reste que c'est dommage qu'Invisionize ne veulent pas faire un "partenariat" avec IPBR-FR.

Au niveau sécurité, je suis toujours spectique sur certaines Mods. Disons que les auteurs n'en parlent pas beaucoup, voir jamais.

D'ailleurs, je remarque qu'Invisionize ne font absolument aucuns contrôles de qualités des Mods, ne parle pratiquement jamais des mises à jour de sécu sur leurs forums... hmmm,...

à suivre...

[LLaumgui]

Quantié vs Qualité --> http://ipb2.ipbr-fr.com/index.php?showtopi...findpost&p=2793

[Zorlakk]

Pour info, mais mod sont tous développé en register_global = Off et en typant mes variables prise à partir de super variables... Donc déjà tu limite les risques...

J'ai récupéré quelques trucs chez Invisionize et 1 ici, j'aime bien... très clean.

[Zorlakk]

Quantié vs Qualité --> http://ipb2.ipbr-fr.com/index.php?showtopi...findpost&p=2793

Oui, j'ai lu... et j'ai toujours trouvé le système de feedback plus qu'instructif et professionnel qu'Invisionize. Ici, quand la Mod sort c'est que la Mod a passé le test.

[Fantome]

Le problème c'est que tout les programmateur ne sont pas des pro(moi le premier) et donc la sécurité...

[Zorlakk]

Le problème c'est que tout les programmateur ne sont pas des pro(moi le premier) et donc la sécurité...

Mais là est le problème en général des 95% des Mods. Si une Mod peut être néfaste, alors, ça peut mettre sur les genous un serveur et tous les sites Internet dessus...

Alors, oui... c'est jolie d'avoir des Mods ici ou bien chez Invisionize mais si les créateurs ne s'occuppent pas de sécuriser leurs Mods... alors, autant jamais mettre à jour IPB avec les majs de sécu vu que les Mods d'installées sont bourrés de trous de sécu.

Je généralise beaucoup, mais la situation peut être vraie.

[Fantome]

Pour ma part j'ai commencer a m'y intérsser mais je pense que ça demande deja un bon niveau de programation et surtout de la volonté.
Donc si tu as des site ou trouver des information pour de débutant je suis biensur preneur.

[Zorlakk]

Pour ma part j'ai commencer a m'y intérsser mais je pense que ça demande deja un bon niveau de programation et surtout de la volonté.
Donc si tu as des site ou trouver des information pour de débutant je suis biensur preneur.

Oui, je viens de me lancer depuis quelques temps dans la vérification au niveau de la sécu. Étant principalement infographe/graphiste/intégrateur Web ... et dernièrement, terminer mes cours de prog (webmestre)... mais au niveau sécurité, hmmmm, ont a pas vu grand chose malheureusement et de très constructif là dessus (disons que j'ai du passé un peu rapidement là dessus pendant mes cours. ) Mais bon,... je me documente de plus en plus là dessus.

Reste que faire de la correction et de la vérification au niveau de la sécu n'est pas si facile que ça. C'est là que je bloque sur les méthodes... sans oublier lorsqu'on trouve un bug et que la solution n'est pas disponible entre nos oreilles...

Ce message a été modifié par Darken - vendredi 29 avril 2005 à 19:55.

[Fabien]

Effectivement, ça serait intéressant d'avoir une sorte de Guid pour éviter les failles de sécurité comme "développer en register_global = Off".

Si vous avez d'autres astuces, postez-les ici

[LLaumgui]

En ce moment, je travail sur la sécurisation d'un site... Si tu veux, je peux te faire un post explicatif des gros truc à pas faire...

http://www.llaumgui.com/index.php/2005/04/...lle-de-securite --> Site pro développé par des pro que je tente de sécurisé depuis 2 mois... Mais le passif est tèlement lourd que plus je bouche les failles plus j'en découvre...

[Fabien]

En ce moment, je travail sur la sécurisation d'un site... Si tu veux, je peux te faire un post explicatif des gros truc à pas faire...

Je veux bien

http://www.llaumgui.com/index.php/2005/04/...lle-de-securite --> Site pro développé par des pro que je tente de sécurisé depuis 2 mois... Mais le passif est tèlement lourd que plus je bouche les failles plus j'en découvre...

J'ai lu ce billet y'a un moment déjà. Très intéressant

[Fantome]

Interessant le billet.

[Fantome]

Voila un petit article qui permet de poser certaine base, je pense que ça peut vous intéresser. http://thierrylhomme.developpez.com/php/php_secure/

[Zorlakk]

Intéressant... hmmm, très intéressant. Le lien + le billet... belle trouvaille/déduction le truc de l'extension Web Developer avec les forms hidden.

intéressant...

[Prolag]

Je pense qu'il y a mod et mod
Car c'est une p'tite modif de 3 fois rien il ya pas de grande chance de trou de secu
Mais c'est vrai que pour les trucs comme les gestionnaires de telechargements, de lien, qui font pas mal de ligne de code c'est deja beaucoup plus limite

Pour mes mods je fait assez attention surtout au niveau des permissions (une interface d'admin accessible facilement par un utilisateur normal..)

[LLaumgui]

Bon, je me suis lancé dans l'écriture d'un billet pour exprimer 3 règles simples pour bien débuter une application web du point de vu sécurité... C'est vraiement les bases, je parles pas de toutes les failles incluses par une mauvaise utilisation des librairie GD ou autres...

Prochaine étapes un billet sur les injonctions SQL...