Le 27/05/2011 16:51, Dominique Rousseau a écrit :
Oh bah c'est ton client qui va payer le dev, d'une façon ou d'une autre. Soit qu'il a encore le presta en question à travailler sur le site, il fait évoluer sa demande sur « compatible PHP 5 actuel ». Soit qu'il prend quelqu'un d'autre pour le faire.
L'appli est encore maintenue par le développeur 'historique'. Contrat type tierce maintenance applicative. Donc pour toi, ils n'ont aucune obligation à faire tourner ça sur une plateforme respectant l'état de l'art, ne serait-ce qu'en matière de sécurité ? Pour moi, payer une maintenance annuelle, ça implique quand même d'être dans les clous question version de PHP 'moderne' mais je suis un grand rêveur.
Le contrat parle également de l'obligation de la part du prestataire de protéger avec un firewall logiciel. A mon avis, ce n'est pas le cas mais est-ce que c'est prouvable avec du nmap ? Bah, après réflexion, ils trouveront toujours un moyen de trouver une ACL quelconque et de dire que c'est fait.
Tu émets des réserves sur ce à quoi tu peux t'engager, en tant qu'hébergeur, en terme de sécurité.
C'est fait ça, parapluie ouvert ;-)
Tu peux aussi lui vendre (toi ou un presta) du « firewall applicatif » (genre mod_security, ...) à mettre devant, si vraiment il veut/peut pas le faire évoluer, mais quand meme réduire les risques.
Mouais, mais compte tenu du nombre de failles possibles (pour la plupart des DoS), aucune protection ne sera garantie en terme d'efficacité. Et on tombe vraiment dans la rustine là, je n'aime vraiment pas.
Merci, Julien