Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Friday 27 October 2006
0 comment(s) | Subnetwork France

Le projet PhpSecInfo se télécharge et s'installe en quelques secondes. Il suffit alors de pointer un navigateur sur le répertoire d'installation pour découvrir une page bâtie sur un modèle bien connu : celui de la sortie de la fonction phpinfo(). Difficile de faire plus simple et, surtout, plus lisible !Les informations présentées ne concernent cependant pas la configuration générale de PHP mais uniquement ses réglages de sécurité. Pour cela, PhpSecInfo se contente d'interpréter le fichier php.ini. Il sera donc incapable de déceler les erreurs dans vos propres applications (telles que l'injection d'en-têtes ou la mauvaise gestion des includes).Mais ses commentaires n'en sont pas moins précieux. PhpSecInfo passe ainsi en revue les erreurs de configuration les plus courantes parmi celles qui affaiblissent la sécurité de PHP. On y trouve de grands classiques tel que l'activation des variables globales et d'autres erreurs plus subtiles, telles que l'affichage des erreurs PHP sur un site en production ou le recours à magic_quotes_gpc pour se faciliter la vie. La fonction audite également d'autres réglages souvent laissés par défaut et qui ont un impact fort sur la sécurité du serveur, tel que la non-activation de la directive Open_Basedir, ou la mauvaise gestion du répertoire temporaire de PHP (une plaie sur un serveur mutualisé).Enfin, PhpSecInfo passe en revue les réglages liés à la limitation de l'occupation des ressources systèmes (usage mémoire, taille maximale des requêtes POST ou des téléchargements, etc...).PhpSecInfo reprend à son avantage la clarté de l'affichage bien connu de phpinfo()Bien que l'usage de PhpSecInfo ne soit en rien une garantie de sécurité, il permettra aux webmestres les moins curieux et les moins intéressés par la configuration de PHP de combler au moins les failles les plus stupides.

• Télécharger PhpSecInfo (en anglais)