[gepi-users] register_globals=on
Stephane Boireau (Animateur TICE Bernay/Pont-Audemer)
stephane.boireau at ac-rouen.fr
Dim 3 Fév 10:24:27 CET 2008
Bonjour,
Le samedi 2 février 2008 23:19, Julien Jocal a écrit :
> Selon Denis Geral <dlgeral at ac-creteil.fr>:
> > Franck stutzmann a écrit :
> > Mais ne te rends pas malade pour ça, les serveurs ont fonctionné avec ce
> > paramètre à ON pendant des années, beaucoup d'applications web
> > nécessitent toujours qu'il soit à ON pour pouvoir fonctionner, c'est
> > pourquoi pas mal de serveurs sont toujours comme ça, ils ne sont pas
> > piratés toutes les nuits pour autant! Ca peut occasionner des failles
> > dans des applications mal sécurisées, c'est pourquoi aujourd'hui on
> > préconise OFF, c'est d'ailleurs la valeur par défaut maintenant, mais on
> > peut survivre avec ON!...
>
> oui, c'est sûr ;-) mais on peut aussi tout perdre ;-( Les utilisateurs de
> ces serveurs devraient faire remonter leurs interrogations sur la sécurité
> (mais on y reviendra sur cette liste). En attendant, le register global à
> off devrait être obligatoire sur tout serveur digne de ce nom.
En effet.
Vous ne gérez pas là une base de donnée de photos de vacances.
Ce sont des notes... potentiellement cela pourrait intéresser davantage un
élève un peu futé de chercher s'il n'y aurait pas moyen de bricoler ses notes
plutôt que de passer plusieurs heures sur un devoir à la maison;o).
En laissant
register_globals=on
on ouvre des portes, on rend les tentatives plus simples (il faut quand même
comprendre le principe, mais ce n'est pas hors de portée d'un hacker en
herbe).
Pour rassurer un peu, des dispositifs sont aussi mis en place côté gepi pour
déceler les tentatives d'intrusion.
Par ailleurs, on a eu quelques blagues en
register_globals=on
avec des collisions sur des noms de variables en $_POST/$_GET et $_SESSION.
Normalement, c'est réglé, mais bon...
Cordialement.
--
Stephane Boireau
Animateur TICE Bernay/Pont-Audemer
More information about the Gepi-users
mailing list