On ven. 27 mai 2011 19:44:52 CEST, Milamber milamberspace@gmail.com wrote:
Bonjour,
Je rejoins les réponses précédentes, quasiment impossible à forcer de faire l'upgrade si c'est pas prévu.
Tu peux donc utiliser un web application firewall (modsecurity) pour palier aux problèmes de sécurité de PHP (et certainement de l'application elle-même) Ma recette c'est : en frontal : un apache+mod_security en reverse proxy avec fail2ban pluggé sur les logs de mod_security (ce dernier n'étant pas en mode coupure) en backend : un apache+php4+appli + iptables configuré en local avec policy en DROP pour toutes les chaines (input/output) sauf le strict nécessaire. (si possible un fw entre les deux)
en tout cas, ne pas mettre en direct ton apache+php4+appli. Si jamais une personne malveillante arrive à bypasser le modsecurity (c'est toujours possible... et souvent à cause d'un bug de sécurité de l'application), il sera beaucoup plus embêté en étant dans sur un serveur backend très limité sur le plan des connexions (in/out) (mais bon la sécurité à 100% utopie)
Dernière chose, tu peux aussi rajouter les acl niveau IP si c'est possible pour l'accès depuis Internet, du https voir même une authentification par certificat SSL obligatoire, etc pour limiter les utilisateurs possibles. L'ACL peut être aussi en GeoIP (module apache) pour limiter les ip entrante à un pays (si c'est possible pour les utilisateurs) ceci t'évitera un bon gros paquet de tentative d'attaques.
A+
Le 27/05/2011 15:25, Julien Escario a ecrit :
Bonjour, Un projet de migration m’amène dans une situation inédite pour moi : Je récupère une application web sur mes serveurs. Le problème : l'application de fonctionne avec PHP 5.2 (je n'ai même pas voulu essayer en 5.3). L'ancien hébergeur (et développeur de l'application - y compris dans le futur), me dit que le pré-requis est en PHP 4.4. Effectivement, après bidouillage sur un serveur de test, l'application tourne effectivement sur PHP4.
Mais voilà, PHP4, le support est arrêté depuis 2008. Et d'après les sites de sécu, c'est 34 failles de sécurité non patchées et qui ne le seront jamais. Autant dire que les hackers vont se faire plaisir ...
A priori, pas de trace de l'obligation écrite de la boite de dev de suivre les versions du langage.
D'où ma question : le client est-il en mesure de forcer (par négo, voir par avocat) à rendre son application compatible PHP5 ? Histoire de savoir qui va devoir payer le dev pour upgrader ce soft.
Est-ce que certains d'entre vous ont déjà eu un cas de figure similaire et comment ça s'est terminé ?
Merci, Julien
P.S. : pour la blague, le prestataire actuel ne semble avoir aucun remord à faire tourner cette appli sur un serveur mutu avec PHP 4.4.8 ... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/