PHPfrance

la communauté d'entraide francophone dédiée au PHP

Accéder à wamp depuis un autre ordinateur

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Accéder à wamp depuis un autre ordinateur

par Xenon_54 » 31 janv. 2008, 17:30

A noter que dans la majorité des cas ou le serveur et l'os étaient en cause, c'était parce que les administrateurs n'avaient pas eu la bonne idée de le mettre à jour.. (récemment encore, quelques instances publiques belges qui tournaient sous iis5 non patché, notamment)
Évidemment. :)

par Berzemus » 31 janv. 2008, 11:33

A noter que dans la majorité des cas ou le serveur et l'os étaient en cause, c'était parce que les administrateurs n'avaient pas eu la bonne idée de le mettre à jour.. (récemment encore, quelques instances publiques belges qui tournaient sous iis5 non patché, notamment)

par Xenon_54 » 31 janv. 2008, 01:13

Bravo Nagol pour ce début d'explications. :)
Voici quelques opinions sur le sujet:
  1. On parle bel et bien de sécurité et non de performances. (car on reconnaitra que chaque OS a ses points forts/faibles au niveau des performances/fonctionnalités)
  2. Tel que mentionné par @rthur, plusieurs failles annoncés sur Windows ont rapport à un environnement Desktop.
  3. Il faudrait pouvoir faire la différence entre les failles exploitables localement et à distance.
  4. La proportion des machines roulant sur Windows (Desktop et Serveur confondus) est plus grande. Cela a pour conséquence que les attaques et failles découvertes sont concentrés sur Windows.
  5. Les Desktop Windows sont bien souvent directement branchés sur l'Internet et ce, sans protection. (on parle bien de papa et maman qui ne sont parfois pas initiés au domaine de la sécurité informatique) La découverte de failles est donc plus rapide. (voir #4)
Cela dit, dans la très grande majorité des situations dans lesquels j'ai dû faire face à un hack, l'insécurité d'une application PHP en était la cause.

Dans de très rare cas, un service ou une certaine version de kernel étaient la source du problème. (et je peux compter ces cas sur une main, ce qui n'est pas le cas des cas avec des failles PHP)
Enfin, j'aimerais savoir si tu es réellement administrateur de 4000 machines, seul postes tes sources plz
Je cite ma précédente réponse:
De plus, en tant qu'administrateur système, je dois gérer le support pour plus de 4000 serveurs.
Et j'ajoute que je travaille actuellement au département de support aux serveurs dédiés d'iWeb Technologies: http://fr.iweb8.com/ (avec actuellement 2 centres de données)

Je ne sois donc pas seul. (autrement, quel enfer ce serait...)

Je rencontre donc toutes sortes de situations où le serveur s'est fait défoncé/hacké. :)

par Nagol » 28 janv. 2008, 15:14

A mon avis les failles de sécurité concernant Windows Media Player sont tout à fait dans le sujet. Quand j'aurais un peu de temps je ferais une analyse aprofondie avec le terme Windows en essayant d'avoir un regard un peu plus qualitatif.

Je ne pense pas que lancer une recherche sur windows server soit aproprié, la plupart des systèmes testés sont en réalité trés peu faillibles par eux mêmes, il s'agit plus de certains daemons que l'on retrouve et qui dispose de failles.

Je reposterais en essayant d'affiner tout ça mais ca sera avec le mot windows qui comprend l'ensemble des versions de windows, comme les autres comprennent eux même les différentes versions de leur os.

par @rthur » 28 janv. 2008, 11:03

En recherchant juste le terme "Windows" tu inclus les alertes pour Windows Media Player, Windows 98 ou encore les produits qui comportent le nom windows dans leur nom, comme "Symantec Veritas Backup Exec for Windows"

Si je cherche "Windows Server" (qui est la seule branche de Windows qui doit être utilisée en tant que serveur) on arrive selon ta méthode à seulement 7 alertes de sécurité sur 2007 et 2008...

par Nagol » 28 janv. 2008, 03:12

J'ai trouvé quelques ressources et tenté de faire une brève analyse. Il s'agit du CERN qui liste les alertes de sécurités relatives aux systèmes d'exploitation et propose un petit moteur de recherche.

J'ai donc recherché les Systèmes d'exploitation suivant en omettant leur version ou distribution:
OpenBSD (Parce qu'il a la réputation d'être l'os le plus secure au monde)
FreeBSD (Sans doute parceque c'est mon préféré pour ce qui concerne le hosting de daemon réseau)
Linux (Pour voir s'il peut rivaliser sur cette petite étude avec les deux précédents)
Windows (Pour vérifier qu'il est comme je le pense le dernier de loin)

Chacun de ces Mots correspond bien à un OS distinct avec son kernel propre, les infos viennent comme je disais du CERN donc une entité trés crédible. J'ai donc simplement comptabilisé les rapports par date sans me préoccuper de l'importance de l'erreur ou de sa relation directe avec le kernel ce qui revient à faire une bête étude quantitative, une analyse approfondie permettrait sans doute de mieux se rendre compte mais enfin voila:

Daté de 2007-2008 et représentant l'ensemble des alertes de sécurité:

OpenBSD
26
FreeBSD
29
Linux
41
Windows
162

Vous pouvez effectuer le test ici:

http://www.kb.cert.org/vuls/html/search

par Nagol » 28 janv. 2008, 02:29

Ouais, elle est super ta comparaison, on va te sortir la comparaison de chez Microsoft qui te sort exactement la même chose mais dans l'autre sens. Je suis d'accord avec toi que les BSD sont plus sécurisés que les Windows, mais pour le prouver, ne sort pas une étude totalement partiale.

Tu nous files un article écrit par des fans de BSD, je ne dis pas qu'ils n'ont pas essayé de le faire le plus objectif possible, mais ils sont fans de BSD, donc c'est normal que la grosse majorité des points soient des points positifs pour BSD. Leur avis sur chaque cas traité peut être biaisé par leur propre vision des choses. Par exemple certains feront plus confiance envers une application commerciale que libre. Et les points traités dépendent de leur affinité, un supporter de Microsoft n'aurait pas étudié les mêmes choses.

Enfin leur histoire de faire le total des :) :| et :( est totalement ridicule. C'est tout sauf du quantitatif. Tu vas chercher dans un serveur certains attributs plus que d'autres (plutôt sur, ou bien performant, ou encore bien fourni en applications commerciales), ce qui atteint plus encore le sérieux et la fiabilité d l'article.
Je suis entièrement d'accord, ça me semblait juste adapté de répondre de cette manière :) pour de vrais données il suffisait comme je le disais avant de lancer un scan snort sur différentes bécannes pour comprendre les différences, notamment en matière de randomization des entêtes de packet tcp/ip, et diverses failles dues aux daemons usuels de chaques OS. Mais si on veut vraiment des stats je suis sûr que c'est pas trés dur à trouver du côté du CERT qui fait des études régulières sur le sujet par exemple.

par Sékiltoyai » 28 janv. 2008, 02:16

Ouais, elle est super ta comparaison, on va te sortir la comparaison de chez Microsoft qui te sort exactement la même chose mais dans l'autre sens. Je suis d'accord avec toi que les BSD sont plus sécurisés que les Windows, mais pour le prouver, ne sort pas une étude totalement partiale.

Tu nous files un article écrit par des fans de BSD, je ne dis pas qu'ils n'ont pas essayé de le faire le plus objectif possible, mais ils sont fans de BSD, donc c'est normal que la grosse majorité des points soient des points positifs pour BSD. Leur avis sur chaque cas traité peut être biaisé par leur propre vision des choses. Par exemple certains feront plus confiance envers une application commerciale que libre. Et les points traités dépendent de leur affinité, un supporter de Microsoft n'aurait pas étudié les mêmes choses.

Enfin leur histoire de faire le total des :) :| et :( est totalement ridicule. C'est tout sauf du quantitatif. Tu vas chercher dans un serveur certains attributs plus que d'autres (plutôt sur, ou bien performant, ou encore bien fourni en applications commerciales), ce qui atteint plus encore le sérieux et la fiabilité d l'article.

par Nagol » 28 janv. 2008, 01:59

Tu sembles parler de Windows en général et non de la plateforme préférable pour Apache.

Ton raisonnement ne fait aucun sens puisqu'il n'y a aucun argument ni preuve concrète. (articles, études, white papers, etc.) Ton message s'apparente donc à un troll.

Montre nous tes sources au lieu de débarquer avec des commentaires gratuits.

De plus, en tant qu'administrateur système, je dois gérer le support pour plus de 4000 serveurs. Jusqu'à présent, les serveurs qui se font le plus hacker sont sous Linux. Je compte sur mes doigts les serveurs Windows qui se sont fait hacker.

J'ai simplement l'impression que tu es revenu sur ce forum que pour balancer des trolls à gauche à droite ce qui n'apporte rien de plus que du vent.
J'ai pas vraiment le temps pour les trolls, surtout quand quand ce qui est appellé troll est en réalité une tentative de faire réfléchir les masses quand à leur utilisation de l'outil informatique. Pour ce qui est des sources je sais que la fainéantise est une des qualités du développeur mais pas ici:

http://www.freebsd.org/marketing/os-comparison.html

Petit lien avec pleins d'autres en bas, d'autre part je note que tes windows ne se font pas hacker, c'est bien, c'est aussi de la chance et ne signifie en rien qu'ils sont sécurisé, tes linux se font hacké, ca ne m'étonne pas tant que ça Linux n'est pas un champion de la sécurité et ne se compara pas à FreeBSD ou encore moins à OpenBSD comme je le disais. Enfin, j'aimerais savoir si tu es réellement administrateur de 4000 machines, seul postes tes sources plz :)

par Xenon_54 » 28 janv. 2008, 01:30

Tu sembles parler de Windows en général et non de la plateforme préférable pour Apache.

Ton raisonnement ne fait aucun sens puisqu'il n'y a aucun argument ni preuve concrète. (articles, études, benchmarks, etc.) Ton message s'apparente donc à un troll.

Montre nous tes sources au lieu de débarquer avec des commentaires gratuits.

De plus, en tant qu'administrateur système, je dois gérer le support pour plus de 4000 serveurs. Jusqu'à présent, les serveurs qui se font le plus hacker sont sous Linux. Je compte sur mes doigts les serveurs Windows qui se sont fait hacker.

J'ai simplement l'impression que tu es revenu sur ce forum que pour balancer des trolls à gauche à droite ce qui n'apporte rien de plus que du vent. Après avoir lu tes messages, je me sens jamais plus intelligent ou instruit.

par Nagol » 27 janv. 2008, 23:54

Hmm, après avoir recherché cette info je crois que je me suis un peu emmêler les méninges voici ce qui était encore assez récemment dans les fichiers d'installation d'Apache:

Code : Tout sélectionner

Apache on Win32 should still be considered beta quality code. It does not meet the normal standards of stability and security that Unix releases do. The Win32 code for Apache 2.0 was entirely revised and large segments have been rewritten. When Apache 2.0 is released, we strongly encourage all Win32 users to move to that platform to reduce these risks. Apache should never be used as a production server under any consumer operating system such as Windows 95, 98, or ME (Millenium Edition). Only Windows NT 4.0 or 2000 should be considered, and only with appropriate NTFS file system and user security administration. Apache works across all of these Windows environments only to provide test, development or intranet servers. Apache on Win32 should be considered initial-release quality code. It has not been subjected to the same stresses on it's stability and security that the Unix releases have enjoyed, so there is a greater possibility of undiscovered vulnerabilities to stability and security. The Win32 code for Apache 2.0 has been entirely revised and large segments have been rewritten from scratch. Once the Apache 2.0 server is released, we strongly encourage all Win32 users to move to that platform to further reduce stability and security risks.
J'ai donc assimilée l'information dans mon esprit au php-group. Il n'en reste pas moins logique de dire que windows n'est pas un système aproprié pour un serveur de production il suffit de connaitre les environnements BSD et notamment OpenBSD pour se rendre compte de la grande différence qui existe entre un OS windows et un Unix, d'ailleurs Linux n'est pas un OS offrant la moitié de la qualité en terme de sécurité d'un système comme OpenBSD. Pour les références je vous encourage simplement à tester ces différents OS avec le scanner intégré à Snort.

par Xenon_54 » 27 janv. 2008, 21:06

En fait c'est pas juste wamp mais bien windows en tant que serveur web de production qui est déconseillé et cela par le phpgroup lui même.
Tu as la source de cette info?
Étrange. Le groupe PHP a travaillé en collaboration avec Microsoft pour offrir le support fastcgi pour PHP sur IIS (ce qui est une très bonne nouvelle):
http://devzone.zend.com/article/2703-Fa ... -Supported

Cite donc tes sources qu'on puisse juger de la pertinence de ce commentaire car pour l'instant, il est tout simplement gratuit et sans fondement.

Le seul commentaire que j'ai vu sur php.net qui pourrait être relié est le suivant:
Il y a beaucoup d'installeurs "tout en un" sur Internet, mais aucun n'est approuvé par Php.net car nous pensons que l'installation manuelle reste le meilleur choix pour avoir un système sécurisé et optimisé.

par clelia » 26 janv. 2008, 08:27

Merci à tous, je vais essayer...

par @rthur » 21 janv. 2008, 15:41

En fait c'est pas juste wamp mais bien windows en tant que serveur web de production qui est déconseillé et cela par le phpgroup lui même.
Tu as la source de cette info?

par Nagol » 21 janv. 2008, 13:32

Cas particulier :
Si tu as une adresse en 192.168.* et que tu veux accéder à tes sites depuis un PC qui n'est pas chez toi (=qui n'est pas dans ton réseau local), alors il faut que tu configures ton routeur (=la box de ton FAI souvent) pour que le port 80 de ton adresse IP publique pointe sur le port 80 du PC avec Wamp. Et ensuite il faudra taper l'adresse IP publique (que tu peux voir en allant sur http://ip.celeo.net depuis la machine sur laquelle est wamp) pour voir tes sites.
euh, on rappelle tout de même que wamp n'est pas destiné à être accessible du web, et il est très déconseiillé de le faire pour raisons de sécurité.
En fait c'est pas juste wamp mais bien windows en tant que serveur web de production qui est déconseillé et cela par le phpgroup lui même.