On ven. 27 mai 2011 19:44:52 CEST, Milamber <milamberspace@gmail.com> wrote:

> Bonjour,
>
> Je rejoins les réponses précédentes, quasiment impossible à forcer de
> faire l'upgrade si c'est pas prévu.
>
> Tu peux donc utiliser un web application firewall (modsecurity) pour
> palier aux problèmes de sécurité de PHP (et certainement de
> l'application elle-même)
> Ma recette c'est :
> en frontal : un apache+mod_security en reverse proxy avec fail2ban
> pluggé sur les logs de mod_security (ce dernier n'étant pas en mode
> coupure) en backend : un apache+php4+appli + iptables configuré en local
> avec policy en DROP pour toutes les chaines (input/output) sauf le strict
> nécessaire.
> (si possible un fw entre les deux)
>
> en tout cas, ne pas mettre en direct ton apache+php4+appli. Si jamais
> une personne malveillante arrive à bypasser le modsecurity (c'est
> toujours possible... et souvent à cause d'un bug de sécurité de
> l'application), il sera beaucoup plus embêté en étant dans sur un
> serveur backend très limité sur le plan des connexions (in/out) (mais
> bon la sécurité à 100% utopie)
>
> Dernière chose, tu peux aussi rajouter les acl niveau IP si c'est
> possible pour l'accès depuis Internet, du https voir même une
> authentification par certificat SSL obligatoire, etc pour limiter les
> utilisateurs possibles. L'ACL peut être aussi en GeoIP (module apache)
> pour limiter les ip entrante à un pays (si c'est possible pour les
> utilisateurs) ceci t'évitera un bon gros paquet de tentative d'attaques.
>
> A+
>
>
> Le 27/05/2011 15:25, Julien Escario a ecrit :
> > Bonjour,
> > Un projet de migration m’amène dans une situation inédite pour moi :
> > Je récupère une application web sur mes serveurs. Le problème :
> > l'application de fonctionne avec PHP 5.2 (je n'ai même pas voulu
> > essayer en 5.3). L'ancien hébergeur (et développeur de l'application -
> > y compris dans le futur), me dit que le pré-requis est en PHP 4.4.
> > Effectivement, après bidouillage sur un serveur de test, l'application
> > tourne effectivement sur PHP4.
> >
> > Mais voilà, PHP4, le support est arrêté depuis 2008. Et d'après les
> > sites de sécu, c'est 34 failles de sécurité non patchées et qui ne le
> > seront jamais. Autant dire que les hackers vont se faire plaisir ...
> >
> > A priori, pas de trace de l'obligation écrite de la boite de dev de
> > suivre les versions du langage.
> >
> > D'où ma question : le client est-il en mesure de forcer (par négo,
> > voir par avocat) à rendre son application compatible PHP5 ?
> > Histoire de savoir qui va devoir payer le dev pour upgrader ce soft.
> >
> > Est-ce que certains d'entre vous ont déjà eu un cas de figure
> > similaire et comment ça s'est terminé ?
> >
> > Merci,
> > Julien
> >
> > P.S. : pour la blague, le prestataire actuel ne semble avoir aucun
> > remord à faire tourner cette appli sur un serveur mutu avec PHP 4.4.8
> > ... _______________________________________________
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
> >
> >
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/