On a aussi oublié le paramètre économique : ça dépend de ce que tu as à perdre à une attaque et à dépenser pour t'en protéger...
Avec un peu de trafic, tous ces boitiers et autres, ça coûte ! Le 4 avr. 2012 à 20:56, Pierre Jaury a écrit : > Je ne veux pas paraître rabbat-joie, mais dans la flore moderne du Web > qui clignote et qui mange un peu chaque jour des parts du traffic > global, il n'y a guère plus de gros LAMP en production (tout court ?) > qui serve du HTTP. LAMP (encore que, Apache/nginx avec un PHP fcgi, > cluster de base de données déporté sera bientôt plus courant) est là > pour servir une application, plus guère de HTTP (bien sûr qu'il sert du > HTTP, mais c'est marginal et pas à destination du client final). Par > serveur HTTP dans la question originale, j'imagine qu'on entend frontal, > et qu'on laisse donc de côté la partie applicative ayant vocation à être > sécurisée ailleurs et différemment (sur d'autres machines). > > Sécuriser du HTTP, c'est donc essentiellement avaler de la requête dans > un premier temps. Outre le hardening classique et très généraliste > (filtrage réseau, DOS mitigation, services d'administration sur réseau > privé, etc.), on ajoutera une fois que le système tient la charge un > firewall couche 7 filtrant basiquement les énumérations et autres > burinages pouvant effondrer le système (en veillant à ce que le waf lui > même ne s'effondre pas). À vouloir détailler plus, on se retrouve à > cheval côté applicatif, auquel cas je rejoins un message plus haut : ça > dépend ; mais je crois que c'est hors propos. > > On Wed, 2012-04-04 at 19:54 +0200, Florian Maury wrote: >> Le 4 avr. 2012 à 16:49, Julien Escario a écrit : >> >>> Plus sérieusement, que répondre à ça à part 'ça dépend' ? >> >> "Ça dépend", ça dépasse (toute ma considération à ceux qui retrouveront la >> référence). >> >> J'ai écrit, il y a quelques mois, un document sur le renforcement d'une >> architecture mutualisée LAMP sous Debian. >> >> Bien que j'ai manqué de temps à la fin, ce qui m'a fait un peu bacler la fin >> du document, et trancher un peu trop net mon avis (a.k.a. j'ai trollé à fond >> ; ces avis n'engagent que moi), je pense qu'il pourra peut être en >> intéresser certains. >> >> https://x-cli.eu/secfiles/lamp.pdf >> >> Cheers, >> Florian Maury >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
