Archives pour la catégorie Sécurité

PHP 5.2.4 voit le jour

Ilia Alshanetsky vient d’annoncer la sortie de PHP 5.2.4 avec plus de 120 correctifs de bugs et de sécurité.

L’une des améliorations de cette version est l’inclusion de PCRE 7.2 : de nouvelles possibilités s’offrent à nous, par exemple l’utilisation de \h ou \v pour les espaces horizontaux ou verticaux :

if(preg_match('~\h~', "1 02"))
{
    echo "ID incorrect";
}
 
if(preg_match('~\v~', "102\n"))
{
    echo "ID incorrect";
}

Pour télécharger PHP 5.2.4 : http://www.php.net/downloads.php

Mise en ligne de la nouvelle page Cours PHP

J’ai finalement pris le temps de terminer la nouvelle mise en page des cours et tutoriels PHP. Les cours sont maintenant mieux répartis en catégories, donc plus faciles à retrouver. J’en ai profité pour mettre un peu à l’écart les cours obsolètes, mais vous pouvez toujours les consulter si vous le voulez.

Vous pouvez poster ici vos commentaires et consulter cette page si vous souhaitez rejoindre la Rédaction pour ajouter vos articles à la liste.

http://php.developpez.com/cours/

Sektion Eins : Un nouveau site de sécurité Web

Stefan Esser (Month of PHP bugs, Suhoshin) et Mayflower (Chorizo) sont en train de monter une nouvelle aventure conjointe : Sektion Eins.

Sektion Eins est un nouveau site dédié à la sécurité Web. Avec l’expertise de Stefan Esser (fondateur de l’équipe de séurité du PHP Group) et des créateurs de Chorizo (audit d’applications Web), j’imagine que nous pouvons nous attendre à de belles solutions.

Le site n’est pas encore ouvert mais vous pouvez donner votre adresse e-mail pour être avertis de l’ouverture.

http://www.sektioneins.de/

Erreurs dans les commentaires de la documentation

J’ai peut-être décrié la complexité de PHPT dans mon résumé de la Conférence Internationale PHP 2006, cependant il semble que dans certains cas cette méthode de test soit tout à fait adaptée.
Etienne Knaus vient de publier des résultats très intéressants : il a utilisé PHPT pour vérifier la validité des extraits de code fournis dans les commentaires de la documentation en ligne de PHP.

Sa conclusion : seuls 50% sont valides (plus 9% impossibles à valider à cause d’une extension non installée lors du test), ce qui laisse près de la moitié des commentaires ayant des coquilles…

La morale : n’acceptez pas ces exemples les yeux fermés même si, en général, ils sont parfaitement bien sentis. Je me permets d’apporter un bémol aux résultats présentés : il se peut que les tests ne fonctionnent pas à cause d’une virgule, chose aisée à repérer et corriger. Il ne s’agit pas nécessairement d’une erreur grave dans le code.

Un concours de projet PHP orienté « sécurité »

Le printemps du code 2007 est organisé par Open Web Application Security Project, une communauté représentée au PHP Meetup d’hier. L’idée est de répartir 100 000$ (approximativement la même somme en euros) à des projets open source PHP dont le thème est la sécurité des applications Web. La somme sera répartie de la manière suivante :

  • 20 000$ pour un projet chanceux (au hasard ?) ;
  • 10 000$ pour 10 projets open source ;
  • 40 000$ pour 8 projets de grande envergure ;
  • 22 500$ pour 9 projets de taille moyenne ;
  • 7500$ pour un contrat.

À vos claviers ;-)

[Edit] On me souffle que je ne suis plus à la page : 100.000$ font approximativement 76.000€ de nos jours… Fausse joie !

Le mois des bugs PHP : premiers jours

Stefan Esser (ancien fondateur de la PHP Security Response Team et créateur du projet Hardened-PHP) a commencé son « mois des bugs PHP » jeudi 1 mars.
Cela avait été annoncé en novembre 2006 et confirmé en février. Une interview chez SecurityFocus le mois dernier a permis a Stefan d’expliquer un peu plus en détail son objectif et ses motivations.

Le principe est de dévoiler chaque jour divers bugs PHP qui n’ont pas été résolus jusque très récemment, voire qui ne le seront peut-être jamais. Chaque explication est accompagnée d’un exemple d’exploitation et de propositions afin de corriger PHP.

Ces trois permiers jours ont donné lieu à 7 annonces :

  • PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability
  • PHP Executor Deep Recursion Stack Overflow
  • PHP Variable Destructor Deep Recursion Stack Overflow
  • PHP 4 unserialize() ZVAL Reference Counter Overflow
  • PHP unserialize() 64 bit Array Creation Denial of Service Vulnerability
  • Zend Platform Insecure File Permission Local Root Vulnerability
  • Zend Platform ini_modifier Local Root Vulnerability

Comme l’a dit Ilia Alshanetsky dans son blog, le mois de mars sera très long pour les développeurs de notre langage favori… Cela donnera probablement (espérons-le) lieu à de nombreuses corrections de sécurité !

Ehhh oui, Stefan avait bien averti qu’il n’ira plus avec le dos de la cuiller