[gepi-users] register_globals=on

Julien Jocal collegerb at free.fr
Sam 2 Fév 23:19:50 CET 2008


Selon Denis Geral <dlgeral at ac-creteil.fr>:

> Franck stutzmann a écrit :
> > Denis Geral a écrit :
> >> Franck stutzmann a écrit :
> >>> Lorsque je me connecte en admin sur mon GEPI, j'ai ce message qui
> >>> apparait : PHP potentiellement mal configuré (register_globals=on)!
> >>> Pour prévenir certaines failles de sécurité, vous *devez* configurer
> >>> PHP avec le paramètre register_globals à off. Que dois je faire ? Merci
> >> Si tu administres toi-même le serveur, tu peux changer ce paramètre dans
> >> le fichier php.ini et relancer le serveur web. Sur quel type de serveur
> >> est ton GEPI?
> > sur le serveur du crdp (même emplacement que le site du collège). Si je
> > met register_globals en off, cela ne pose pas de pb ?
>
> Si c'est le serveur du CRDP j'imagine que tu n'en es pas
> l'administrateur, donc tu ne pourras pas le changer, c'est un paramètre
> global pour tout le serveur, pas seulement pour ton dossier
> d'hébergement de site web. Si le serveur héberge d'autres sites ou
> applications, ils ne fonctionneront peut-être plus avec ON.
>
> Mais ne te rends pas malade pour ça, les serveurs ont fonctionné avec ce
> paramètre à ON pendant des années, beaucoup d'applications web
> nécessitent toujours qu'il soit à ON pour pouvoir fonctionner, c'est
> pourquoi pas mal de serveurs sont toujours comme ça, ils ne sont pas
> piratés toutes les nuits pour autant! Ca peut occasionner des failles
> dans des applications mal sécurisées, c'est pourquoi aujourd'hui on
> préconise OFF, c'est d'ailleurs la valeur par défaut maintenant, mais on
> peut survivre avec ON!...

oui, c'est sûr ;-) mais on peut aussi tout perdre ;-( Les utilisateurs de ces
serveurs devraient faire remonter leurs interrogations sur la sécurité (mais on
y reviendra sur cette liste). En attendant, le register global à off devrait
être obligatoire sur tout serveur digne de ce nom.

Rapidement quelques explications techniques :

un script php teste si vous pouvez accéder à une classe

if ($authorise == "1") {
    // alors on peut voir cette classe
}

avec le register_globals à on, on peut écrire dans la barre d'adresse du
navigateur http://domaine.fr/chemin/fichier.php?authorise=1 et la variable
$authorise est initialisée à 1 ... et on peut voir la classe en question. Ceci
n'est qu'une des facettes de ce réglage. Normalement les variables sont bien
initialisées et donc il n'y a aucun souci mais sur le principe, ça peut être
dangereux...

Prévenez vos hébergeurs de ces questions, c'est important ;-D

Cordialement
> --
> Denis Geral
> Lycée Branly - Créteil
>
> _______________________________________________
> Liste de diffusion des utilisateurs de Gepi
> Gepi-users at lists.sylogix.net
> Pour modifier ou résilier votre abonnement à cette liste :
> https://lists.sylogix.net/mailman/listinfo/gepi-users
>


-- 
Julien Jocal
Collège de Sauveterre-de-Guyenne
Gironde - 33


More information about the Gepi-users mailing list