[gepi-users] register_globals=on

[Stephane Boireau (Animateur TICE Bernay/Pont-Audemer)]

Bonjour,

Le samedi 2 février 2008 23:19, Julien Jocal a écrit :
> Selon Denis Geral <dlgeral at ac-creteil.fr>:
> > Franck stutzmann a écrit :
> > Mais ne te rends pas malade pour ça, les serveurs ont fonctionné avec ce
> > paramètre à ON pendant des années, beaucoup d'applications web
> > nécessitent toujours qu'il soit à ON pour pouvoir fonctionner, c'est
> > pourquoi pas mal de serveurs sont toujours comme ça, ils ne sont pas
> > piratés toutes les nuits pour autant! Ca peut occasionner des failles
> > dans des applications mal sécurisées, c'est pourquoi aujourd'hui on
> > préconise OFF, c'est d'ailleurs la valeur par défaut maintenant, mais on
> > peut survivre avec ON!...
>
> oui, c'est sûr ;-) mais on peut aussi tout perdre ;-( Les utilisateurs de
> ces serveurs devraient faire remonter leurs interrogations sur la sécurité
> (mais on y reviendra sur cette liste). En attendant, le register global à
> off devrait être obligatoire sur tout serveur digne de ce nom.

En effet.
Vous ne gérez pas là une base de donnée de photos de vacances.
Ce sont des notes... potentiellement cela pourrait intéresser davantage un 
élève un peu futé de chercher s'il n'y aurait pas moyen de bricoler ses notes 
plutôt que de passer plusieurs heures sur un devoir à la maison;o).
En laissant
	register_globals=on
on ouvre des portes, on rend les tentatives plus simples (il faut quand même 
comprendre le principe, mais ce n'est pas hors de portée d'un hacker en 
herbe).
Pour rassurer un peu, des dispositifs sont aussi mis en place côté gepi pour 
déceler les tentatives d'intrusion.

Par ailleurs, on a eu quelques blagues en
	register_globals=on
avec des collisions sur des noms de variables en $_POST/$_GET et $_SESSION.
Normalement, c'est réglé, mais bon...


Cordialement.
-- 
Stephane Boireau
Animateur TICE Bernay/Pont-Audemer