> Tech > Configurer un environnement sûr pour les applications Web PHP (1/2)

Configurer un environnement sûr pour les applications Web PHP (1/2)

Tech - Par Alan Seiden - Publié le 24 juin 2010
email

Zend Core for i5/OS renforce la protection de votre système. Le System i utilise le langage de programmation Web bien connu, PHP. Il est donc normal qu’il exécute une grande variété de logiciels de type PHP pour le Web. Comme l’ouverture est inhérente à Internet, tout administrateur système prudent qui déploie des applications Web dans l’environnement Zend Core for i5/OS, est soucieux de sécurité.

Quelles précautions doit-il prendre ? Bien que l’architecture de System i protège déjà contre les débordements de buffer, les virus et les vers, et bien que Zend Core PHP fournisse d’autres protections que celles du PHP générique, vous devez aussi vous prémunir contre d’autres dangers, tels que

  • propager des virus vers les navigateurs (même si le site lui-même est immunisé)
  • le sniffing de mots de passe
  • l’exécution non autorisée d’applications
  • la divulgation ou l’altération de données privées

Certaines de ces parades passent par des techniques de programmation PHP spécifiques, que j’expliquerai dans un prochain article. Ici, je m’intéresse à la manière d’obtenir une large protection dans l’environnement PHP lui-même.

Remarque : La sécurité sur le Web est en constante évolution. Toutes les recommandations que je fais ici sont considérées exactes au stade Zend Core for i5/OS version 2.0.1 (c’est-à-dire PHP 5.2.1).

 Un environnement d’exécution sûr réduit le risque de problèmes connus et inconnus. Et ce, quelles que soient les applications exécutées. L’expert en sécurité PHP Chris Snyder, co-auteur avec Michael Southwell de Pro PHP Security (Apress 2005), recommande de multiples niveaux de protection qu’il appelle « défense en profondeur », parce que « vous ne savez pas ce qui va déraper ».

Pour Snyder, développeur Web chez Fund for the City of New York, la sécurité d’une application Web dépend de son environnement d’exécution. L’environnement d’exécution PHP est le périmètre de sécurité extérieur : là où il faut stopper les attaques dès que possible.

Cet article s’intéresse à cette ligne de défense extérieure, qui englobe les éléments suivants : maintenance des correctifs PHP et applicatifs, cryptage, structures de répertoires, fichiers de configuration, et mise à jour régulière de PHP. 

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Alan Seiden - Publié le 24 juin 2010