Quel portail utiliser

[Mouse Imaging]

Bonjour,

Voilà, je dois me lancer (peut-être) dans un grand projet de portail pour un département français, qui veut inclure dans ce portail, les différents métier existant et bien entendu les entreprises.

Je voulais avoir vos commentaires sur les différents portails que vous utiliser, tels que Joomla, Drupal, Typo3, Php-Nuke, et tous les autres.
J'aimerais savoir ce que vous pensez de ceux que vous utilisez et si possible, leurs points positifs et négatifs.

Pour ma part j'en ai installé déjà quelques-uns et testé en vitesse, mais j'aimerais avoir votre opinion pour ceux qui les utilisent depuis un certains temps.

Merci pour vos indications.

Mouse

[staff]

Hello

Si c'est pour un gros projet, il vaut mieux faire des tests et des recherches extensives sur chaque solution. La majorité peuvent aller sur des petits sites, mais quand il s'agit de gros sites, c'est une autre affaire. Il faut peut être chercher sur le web ou visiter le site de chaque portail pour trouver des exemples de gros projets basés dessus.

Good luck!

[staff]

Bon courage alors

Parfois on n'est servi que par soi même. Si le client a un cahier de charges trop spécifique, il est possible de se retrouver dans la situation où seule la programmation maison puisse lui servir.

[Toitoine]

...de plus pour un gros portail, les joomla et autre open source sont trop vulnérables aux malveillants... Je trouve qu'ils demandent une trop grande vigilance pour les différentes mises à jour de sécurité...

Un code fait "maison" a au moins le gigantesque avantage de n'être connu que par vous.

Enfin, moi je reste persuadé qu'on est jamais mieux servi que par soi-même, en gardant à l'esprit qu'il est inutile de réinventer la roue... bien entendu !

Bon courage Mouse

[staff]

Un code fait "maison" a au moins le gigantesque avantage de n'être connu que par vous.

C'est la sécurité par l'obscurité...

Plein de personnes vous diront que c'est mauvais, mais la majorité des pirates sont des gens sont réelles connaissances en informatiques. Ils utilisent des recettes qu'ils trouvent 100% prêtes et ils les appliquent sur de nombreux sites jusqu'à ce qu'il y en ait un qui soit vulnérable au truc. C'est tout.

Un serveur, même à moitié sécurisé, il y a quelques douzaines de gars au monde qui peuvent réellement le menacer. Et encore, faut-ils qu'ils aient l'intérêt à lui consacrer le temps et les moyens.

Si vous avez un script fait maison et qui est "muet", ca peut déjà éviter les soucis avec les gens qui viennent avec des recettes sur mesure...

[trucmuche]

Qu'est-ce que ça veut dire, un script "muet" ? Dont le code est non documenté ?

Question annexe : je pensais en fait qu'il n'était pas possible d'obtenir le code source php d'une page dont on n'est pas le propriétaire. Après quelques recherches, j'ai trouvé qu'avec les register_globals sur ON, il était possible de faire une attaque du type "Remote File Inclusion" pour récupérer le code source php. Mais sinon, chers spécialistes, est-ce possible ??

[staff]

Bonjour

Merci Albert

Oui, c'est ce que je voulais dire. C'est un script qui ne doit rien dévoiler. En cas d'erreur, il affiche une page blanche. Il y a pas mal de scripts qui, sur la moindre erreur d'un utilisateur ou surcharge de serveur, vont cracher des kilomètres de messages d'erreurs qui donnent des noms de variable, des chemins, des noms de fichiers de configuration... Les personnes qui attaquent un site avec détermination cherchent toujours à provoquer erreurs pour obtenir des messages qui vont leur en apprendre plus sur le système.

On peut aissi faire un truc sympa: Sur un serveur Linux, configurer Apache et ajouter l'extension .ASP comme étant un fichier PHP. Puis, on renomme tous ses fichiers PHP en .ASP.

Pour le serveur, ca ne change rien. Par contre, l'utilisateur aura l'impression d'avoir affaire à un serveur Windows et des fichiers ASP. Les attaquants font déjà fausse route dès le départ. Si vous suivez vos logs, vous allez voir des tentatives d'attaques type de Windows / IIS et bloquer les IPs

[trucmuche]

Merci pour toutes vos infos J'ai encore appris quelquechose À l'occasion, je reverrai mes scripts, même si je pense avoir fait cela naturellement (mais une ou deux lignes php pourraient avoir été oubliées, évidemment)...

Et pas bête tiens le coup de l'asp

Sinon, concernant la possibilité de récupérer les sources des pages php, c'est techniquement possible, ou pas du tout ?

[staff]

Pas directement en tout cas. Apache ne livre les .PHP en clair, il livre le résultat. Par contre, par des moyens détournés, il y a des possiblités. Par exemple, des attaques réalisées par des personnes qui ont déjà un compte sur le même serveur et visent les fichiers en 777.

Il est aussi possible d'utiliser Zend on IonCube (solutions coûteuses) pour cypter ses fichiers PHP. Par contre, ce cryptage est assez basique et peut être facilement cassé par des personnes déterminées.

[trucmuche]

D'accord. Donc en pratique il n'y a pas trop de risque de subir un reverse engeneering sur les codes php... C'est bien Merci