PUBLIC MARKS from srcmax with tags web & sécurité

I just posted on TC about the Facebook code leak. PHP has always been notorious for sometimes not processing requests poorly and sending back the source code for pages to the client. Because of the way mod_php works with apache, if mod_php fails in intercepting and processing the request, then apache will just serve it back to the client as an ordinary text file. I could go into the details of how this all works and why it sometimes breaks, as well as the causes, but instead lets touch on a few solutions to preventing PHP code from leaking:

Plusieurs milliers de sites web italiens ont été la cible d’une attaque de grande ampleur, organisée depuis des mois. Leur page d’accueil est infectée par du code qui lance, de manière invisible pour l'internaute, le téléchargement de logiciels espions.

C'est le Canard Enchaîné qui nous la raconte : en septembre 2005, les dirigeants s'aperçoivent qu'en ajoutant "/admin" à la fin de l'adresse du site on tombait directement sur le back-office( la partie réservée aux administrateurs et rédacteurs du site) sans avoir besoin de taper un code. On pouvait donc modifier toutes les pages. La semaine dernière les journalistes du Canard ont pu s'apercevoir que le problèmé était loin d'être réglé. Mieux : ils ont accédé au fichier des adhérents. (soit dit en passant :ne pas protéger ce type de données est passible de cinq ans de cabane)

Un problème de protection des données sur le site Internet de la RATP a permis tout cet été à n'importe qui d'accéder à des centaines de formulaires pré-remplis. La régie était au courant, mais n'a rien fait.

Que d'émotions nous avons eu hier sur le forum Alsacréations : de sympathiques visiteurs turcs sont venus gentillement nous rendre visite. Ils nous ont même redécoré la façade. On n'en demandait pas tant.