On ven. 27 mai 2011 19:44:52 CEST, Milamber <milambersp...@gmail.com> wrote:
> Bonjour, > > Je rejoins les réponses précédentes, quasiment impossible à forcer de > faire l'upgrade si c'est pas prévu. > > Tu peux donc utiliser un web application firewall (modsecurity) pour > palier aux problèmes de sécurité de PHP (et certainement de > l'application elle-même) > Ma recette c'est : > en frontal : un apache+mod_security en reverse proxy avec fail2ban > pluggé sur les logs de mod_security (ce dernier n'étant pas en mode > coupure) en backend : un apache+php4+appli + iptables configuré en local > avec policy en DROP pour toutes les chaines (input/output) sauf le strict > nécessaire. > (si possible un fw entre les deux) > > en tout cas, ne pas mettre en direct ton apache+php4+appli. Si jamais > une personne malveillante arrive à bypasser le modsecurity (c'est > toujours possible... et souvent à cause d'un bug de sécurité de > l'application), il sera beaucoup plus embêté en étant dans sur un > serveur backend très limité sur le plan des connexions (in/out) (mais > bon la sécurité à 100% utopie) > > Dernière chose, tu peux aussi rajouter les acl niveau IP si c'est > possible pour l'accès depuis Internet, du https voir même une > authentification par certificat SSL obligatoire, etc pour limiter les > utilisateurs possibles. L'ACL peut être aussi en GeoIP (module apache) > pour limiter les ip entrante à un pays (si c'est possible pour les > utilisateurs) ceci t'évitera un bon gros paquet de tentative d'attaques. > > A+ > > > Le 27/05/2011 15:25, Julien Escario a ecrit : > > Bonjour, > > Un projet de migration m’amène dans une situation inédite pour moi : > > Je récupère une application web sur mes serveurs. Le problème : > > l'application de fonctionne avec PHP 5.2 (je n'ai même pas voulu > > essayer en 5.3). L'ancien hébergeur (et développeur de l'application - > > y compris dans le futur), me dit que le pré-requis est en PHP 4.4. > > Effectivement, après bidouillage sur un serveur de test, l'application > > tourne effectivement sur PHP4. > > > > Mais voilà, PHP4, le support est arrêté depuis 2008. Et d'après les > > sites de sécu, c'est 34 failles de sécurité non patchées et qui ne le > > seront jamais. Autant dire que les hackers vont se faire plaisir ... > > > > A priori, pas de trace de l'obligation écrite de la boite de dev de > > suivre les versions du langage. > > > > D'où ma question : le client est-il en mesure de forcer (par négo, > > voir par avocat) à rendre son application compatible PHP5 ? > > Histoire de savoir qui va devoir payer le dev pour upgrader ce soft. > > > > Est-ce que certains d'entre vous ont déjà eu un cas de figure > > similaire et comment ça s'est terminé ? > > > > Merci, > > Julien > > > > P.S. : pour la blague, le prestataire actuel ne semble avoir aucun > > remord à faire tourner cette appli sur un serveur mutu avec PHP 4.4.8 > > ... _______________________________________________ > > Liste de diffusion du FRsAG > > http://www.frsag.org/ > > > > > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/