Chaque nouvelle release de PHP améliore la sécurité en éliminant les points faibles signalés par la communauté utilisatrice. Entre les releases, Zend émet des « correctifs à chaud » c’est-à-dire des rustines temporaires qui corrigent de graves bogues dangereux pour la sécurité, en attendant la prochaine
Tenez le PHP et les applications à jour
release.
Shlomo Vanunu de Zend recommande aux administrateurs de rester actualisés en configurant les mises à jour automatiques de Zend Network, lesquelles appliqueront les correctifs et les mises à jour nécessaires pour maintenir la sécurité. Vanunu, senior consultant chez Zend à Ramat-Gan, Israël, et chef d’équipe du département i5 Global Services de Zend, note qu’IBM a fait en sorte que tous les clients System i obtiennent ces mises à jour moyennant un abonnement gratuit au Zend Network Silver Support.
Voici comment configurer les mises à jour automatiques :
- S’inscrire auprès de Zend Network. Peut-être avez-vous déjà fait cela si vous avez téléchargé Zend Core à partir du Web.
- A partir de la ligne de commande System i, tapez : GO ZENDCORE/ZCMENU
- Choisissez l’option de menu 2 – Update via Zend Network.
- Sur le menu Update, choisissez la mise à jour immédiate ou échelonnée.
Outre les mises à jour propres à PHP, les principales applications Web de type PHP émettent leurs propres correctifs et diffusent régulièrement des mises à niveau.
Selon Chris Snyder, même le meilleur projet n’est pas à l’abri d’un bogue ravageur. Il encourage donc tous les utilisateurs à se tenir informés quant aux vulnérabilités et aux mises à jour correspondantes par ces méthodes :
- les SecurityFocus summaries, sous la houlette de Daniel Convissor
- les newsletters par courriel diffusées par les équipes de développement
- les forums sur le Web, excellente source d’informations et bon moyen pour connaître d’autres développeurs Je veux aussi dire un mot sur le fichier de configuration de PHP, php.ini.
Les paramètres globaux de PHP – y compris les valeurs de sécurité présentes dans cet article – sont stockés dans /usr/local/Zend/Core/etc/php.ini. Il va sans dire que pour maintenir un système sûr, il faut contrôler rigoureusement l’accès à ce fichier. C’est-à-dire limiter ceux qui y ont accès et veiller à ce qu’aucune application Web ne puisse rien y écrire.
Ce fichier peut être édité avec la commande WRKLNK et les éditeurs de texte de type Windows. Le format de fichier php.ini suit la syntaxe variable = valeur bien connue : paramètre (setting) = valeur.
Par exemple : error_log = /usr/local/Zend/Core/logs/php_error_log
Quand la valeur est booléenne (une valeur on ou off), la ligne devrait se présenter ainsi : setting = On or setting = Off
Par exemple: log-errors = On
Remarque : Vous pouvez utiliser les chiffres 1 et 0 à la place de On et Off.
Vous pouvez aussi accéder aux paramètres de php.ini graphiquement par l’intermédiaire du centre de contrôle Zend Core basé sur le Web, en procédant ainsi :
- Allez sur le site de Zend Core.
- Cliquez sur le menu Configuration.
- Cliquez sur l’option PHP Configuration.
Quelle que soit la façon dont vous éditez php.ini, les mises à jour ne prendront effet qu’au redémarrage du serveur Web Apache de Zend.
Pour redémarrer Apache, procédez ainsi :
- Tapez GO ZENDCORE/ZCMENU.
- Choisissez l’option 5 : Service Management menu.
- Choisissez l’option 6 : Restart Apache server instances.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre nouveau dossier thématique sur l’éco-conception et les bonnes pratiques à adopter pour réduire votre impact environnemental.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
