[gepi-users] register_globals=on
Julien Jocal
collegerb at free.fr
Sam 2 Fév 23:19:50 CET 2008
Selon Denis Geral <dlgeral at ac-creteil.fr>:
> Franck stutzmann a écrit :
> > Denis Geral a écrit :
> >> Franck stutzmann a écrit :
> >>> Lorsque je me connecte en admin sur mon GEPI, j'ai ce message qui
> >>> apparait : PHP potentiellement mal configuré (register_globals=on)!
> >>> Pour prévenir certaines failles de sécurité, vous *devez* configurer
> >>> PHP avec le paramètre register_globals à off. Que dois je faire ? Merci
> >> Si tu administres toi-même le serveur, tu peux changer ce paramètre dans
> >> le fichier php.ini et relancer le serveur web. Sur quel type de serveur
> >> est ton GEPI?
> > sur le serveur du crdp (même emplacement que le site du collège). Si je
> > met register_globals en off, cela ne pose pas de pb ?
>
> Si c'est le serveur du CRDP j'imagine que tu n'en es pas
> l'administrateur, donc tu ne pourras pas le changer, c'est un paramètre
> global pour tout le serveur, pas seulement pour ton dossier
> d'hébergement de site web. Si le serveur héberge d'autres sites ou
> applications, ils ne fonctionneront peut-être plus avec ON.
>
> Mais ne te rends pas malade pour ça, les serveurs ont fonctionné avec ce
> paramètre à ON pendant des années, beaucoup d'applications web
> nécessitent toujours qu'il soit à ON pour pouvoir fonctionner, c'est
> pourquoi pas mal de serveurs sont toujours comme ça, ils ne sont pas
> piratés toutes les nuits pour autant! Ca peut occasionner des failles
> dans des applications mal sécurisées, c'est pourquoi aujourd'hui on
> préconise OFF, c'est d'ailleurs la valeur par défaut maintenant, mais on
> peut survivre avec ON!...
oui, c'est sûr ;-) mais on peut aussi tout perdre ;-( Les utilisateurs de ces
serveurs devraient faire remonter leurs interrogations sur la sécurité (mais on
y reviendra sur cette liste). En attendant, le register global à off devrait
être obligatoire sur tout serveur digne de ce nom.
Rapidement quelques explications techniques :
un script php teste si vous pouvez accéder à une classe
if ($authorise == "1") {
// alors on peut voir cette classe
}
avec le register_globals à on, on peut écrire dans la barre d'adresse du
navigateur http://domaine.fr/chemin/fichier.php?authorise=1 et la variable
$authorise est initialisée à 1 ... et on peut voir la classe en question. Ceci
n'est qu'une des facettes de ce réglage. Normalement les variables sont bien
initialisées et donc il n'y a aucun souci mais sur le principe, ça peut être
dangereux...
Prévenez vos hébergeurs de ces questions, c'est important ;-D
Cordialement
> --
> Denis Geral
> Lycée Branly - Créteil
>
> _______________________________________________
> Liste de diffusion des utilisateurs de Gepi
> Gepi-users at lists.sylogix.net
> Pour modifier ou résilier votre abonnement à cette liste :
> https://lists.sylogix.net/mailman/listinfo/gepi-users
>
--
Julien Jocal
Collège de Sauveterre-de-Guyenne
Gironde - 33
More information about the Gepi-users
mailing list