Discussion :

[papa6]

Bonjour,

Je suis assez tenté de mettre le code de mon programme accessible en lecture et écriture à tous (sous la forme d'un wiki distant par exemple), avec un espace de démonstration en direct : quand quelqu'un fait une modification dans le code il peut tester cette modification dirctement dans l'espace démonstration.

* Seul le fichier des codes FTP n'est pas accessible (par ex. répertoire différent).
* Les données de la base sont non confidentielles (le login de démo n'est pas à protéger...)
* Je dois désactiver les envois de courriels pour éviter du spam.
* Je dois enregistrer les adresses IP, et n'autoriser que les membres pré-identifiés, avec des variables du genre $_SESSION[$_SERVER['REMOTE_ADDR']], mais c'est juste pour ma protection, pour avoir quelqu'un contre qui me retourner en cas de problème (je n'aime pas trop ça, je préfère empêcher à la source, mais bon...)

Je crois que c'est tout ?

Merci pour vos avis.

[N1bus]

Bonjour,

Quelle est ta question ?

[papa6]

--> Quel est le risque ?

Enfin, je pensais que ça ferait sauter tout le monde au plafond d'avoir un code modifiable en direct par n'importe qui et qui puisse tester ça.
Mais peut-être c'est qu'il n'y a pas de risque ? (je doute: malgré ma prudence je me suis déjà fait hacker un simple site vitrine sans avoir compris comment, il y a 6 mois)

[N1bus]

C'est clair que tu va permettre à tous les hackers de venir piller ou détruire ton serveur.

Mais quel est l'interêt ?
Si tu veux faire partager ton code, vois du côté des licences du type GPL ou autres et mets le en téléchargement.

[papa6]

Bonjour, et merci pour ta réponse

Le code est déjà en GPL (sinon je ne le publierais pas)

Je souhaite avancer assez vite en programmation, et hors des méthodes classiques (CVS) qui sont un frein pour pas mal de personnes mobiles car elles ne présentent AUCUNE possibilité de programmer depuis un cybercafé, ou depuis l'ordinateur d'un copain ou du papa qui ne veut pas qu'on rajoute des Apache+Php et autres choses qu'il ne comprend pas sur son ordi.
Avec ma solution, oui, ça sera possible. Les applications "nomades" commencent à apparaître pour la bureautique, et pourquoi pas dans le domaine de la programmation ?

(Concernant la méthode, j'avais fait un autre post : http://www.developpez.net/forums/sho...d.php?t=564517)

permettre à tous les hackers de venir piller ou détruire ton serveur

Justement, c'est ma question : quelles sont les précautions à prendre pour l'éviter ?
J'ai cité dans mon premier message quelques solutions.

Merci bien pour vos conseils

[papa6]

Bonjour,

Pour compléter ma question, voilà un cadre que je propose pour du HTML (j'ai désactivé le PHP) :
http://www.cyberafrique.info/ (c'est une page brouillon, ne prenez pas peur du design ou de la pauvreté)

C'est là où c'est écrit "ici..." que l'on peut rentrer du code.

Voici le type de désactivation que j'ai fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php

// désactive tout ce qui se trouve entre <?php et ?>
$_POST['txtHTML'] = preg_replace("/<\?php(.|\s)*?\?>/", "", $_POST['txtHTML']);

// désactive tout ce qui commence par <? jusqu'à la fin, afin d'éviter d'une part de cacher du code php en ne mentionnant que <?
// et d'autre part évite les balises qui ne ferment jamais (mais qui marchent redoutablement)
$position = strpos($_POST['txtHTML'], '<?');
if ($position !== FALSE && $position >= 0) {
  $_POST['txtHTML'] = substr_replace($_POST['txtHTML'], '', $position); 
}
?>

Pour l'instant, ça ne semble pas dangereux, mais quand je vais permettre aux visiteurs de tester du code php, lui, je ne pourrais plus le désactiver (sauf des mots clés tels que "exit" "break", "mail"...)

Ce qui m'intéresse grandement, c'est de connaître les failles possibles afin d'éviter de voir le site hacké...
Merci

[papa6]

Bonjour,

Toujours pas résolu, mais j'avance sur le sujet :

J'ai développé une recette sous pmwiki : SourceHistory
Ca permet de faire un wiki en ligne de programmation

Mais j'ai bien compris vos remarques concernant la sécurité, et là, je ne sais pas si c'est toujours au point (il me semble que pmwiki est relativement bien protégé contre des attaques, c'est pour ça que je l'ai choisi)