PHP

Deux nouveaux podcasts enregistrés lors du Forum PHP 2007 viennent de sortir !

C'est comme toujours par ici:

http://feeds.feedburner.com/forumphp2007

Si vous allez sur le site de http://www.shopalize.com en ce moment il y a des chances que vous voyez ceci:

J'en profite pour rappeler qu'il est impératif de mettre la directive display_errors à "off" et mettre en place un fichier de log via error_log à la place.

Il y a quelques temps déjà Damien Seguy m'a demandé si je voulais bien faire une revue de son livre "Sécurité PHP5 et MySQL", j'ai accepté avec grand plaisir et peu de temps après il m'a envoyé un exemplaire (la partie disclaimer comme disent nos amis anglo-saxons).

Le livre passe en revue de nombreuses considérations à prendre en compte lors du développement d'applications web. Bien sur des composantes tiennent du bon sens et sont applicables ailleurs que le web.

Le sommaire (repris du site Eyrolles):

  # Risques liés aux applications web

    * Introduction à la sécurité des applications web
    * Vulnérabilités des pages web
    * Formulaires et téléchargement ; valider les données
    * Cookies et sessions

 # Mesures de sécurité pour PHP

    * Installation et configuration de PHP
    * Intégrité des scripts PHP
    * Risques liés aux bases de données
    * Vulnérabilités des base de données
    * Mesures de sécurité pour MySQL

 # Mesures de sécurité pour les technologies connexes

    * Mesures de sécurité côté serveur
    * Techniques de sécurisation des applications web
    * Mener un audit de sécurité

Le plan est clair est progressif, les aspects simples précédents les attaques plus tordues. Les auteurs rappellent à tout moment qu'il s'agit de faire un compromis entre les différents éléments d'un système dont la sécurité fait partie.

Si vous débutez ou n'avez jamais pris l'aspect sécurité de façon sérieuse je vous recommande vivement d'acheter cet ouvrage. Vous y apprendrez toutes les bases nécessaires.

Pour ceux déjà familier avec la sécurité il servira de référence. Vous pourrez aussi le laisser négligemment traîner sur votre bureau pour le porter à l'attention de vos collègues. Et enfin il vous donnera bons arguments lors des discussions avec vos responsables.

Lu sur la page d'un framework MVC

"Closed source applications are generally more secure, by limiting access to the original source we reduce the ability to have [it] exploited."

J'ai de sérieux doutes quand au bien-fondé d'une telle remarque. La citation suivante illustre bien le contre-argument

As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.

Bruce Schneier in Crypto-Gram Newsletter, http://www.schneier.com/crypto-gram-9909.html

L'idée est que la sécurité est bien meilleure lorsque de nombreuses personnes peuvent analyser les mécanismes utilisés or, dans le cas de code propriétaire, le nombre de paires d'yeux conduisant une analyse est bien moins important. La conclusion logique est que la sécurité est moindre.

Cela n'a rien de bien nouveau en soi mais je suis surpris que l'on puisse encore lire de tels arguments.

Je me suis aperçu plus tard le site n'a pas vu de mise à jour depuis un an et demi et donne tous les signes d'une mort clinique. L'argument de la meilleure sécurité ne leur a pas réussi apparemment.

A l'occasion du forum Romain Bourdon à annoncé la sortie de WAMP2 qui permet notamment d'installer des versions différentes de PHP et MySQL, tous les détails sont sur

http://www.wampserver.com

Joshua Eichorn à récemment posté une liste des nouveautés attendues dans la nouvelle version de l'installateur de PEAR. Afin d'éviter la confusion possible à l'heure actuelle l'installateur va changer de nom et s'appeler Pyrus tandis que le "repository" de paquetages se nommera PEAR2.

Voici la liste des points abordés par Joshua lors de sa "PEAR2 Unconference" en marge de la ZendCon.

1. Aucune installation n'est nécessaire. Pyrus vient sous la forme .phar qui peut être lancé directement sous PHP.
2. La plupart des paquetages peuvent être utilisés sans installation et plus tard mis à jour via Pyrus.
3. Pyrus est fait pour le scénario développement/déploiement. Une commande "deploy" permettra de gérer le déploiement sur un serveur de production
4. Le code de Pyrus est plus petit et utilise beaucoup moins de mémoire.
5. Les formats supportés par défaut sont .tar, .tgz, .tbz, .zip, and .phar
6. La version minimum requise est PHP 5.3+ qui permet d'utiliser les fonctionnalités avançées telles que les itérateur SPL, XMLReader/XMLWriter, l'extension ZIP, l'extension phar (si activée), les exceptions
7. Le support des applications (en plus des paquetages) via les rôles www and cfg (fichiers de configuration)
8. Pyrus peut installer la quasi-totalité des paquetages utilisant le format 2.0 de package.xml sans avoir besoin de modifier le code. Vous pouvez également utiliser Pyrus pour gérer vos paquetages PEAR.

Vous pouvez vous inscrire pour le Forum PHP ayant lieu les 21 et 22 novembre 2007.

Réservez vos places dès maintenant !

http://www.afup.org/pages/forumphp2007/inscription.php

Une discussion a lieu en ce moment sur la mailing liste de PEAR sur un changement de casse.

L'auteur suggère "pear" en lieu et place de "PEAR".

Diverses raisons sont avancées, PEAR est un acronyme signifiant PHP Extension and Application Repository. Or aujourd'hui il n'y a plus les extensions qui sont dans PECL et il n'y a jamais vraiment eu d'applications.

Qu'en pensez-vous chers lecteurs ?

MaJ: j'avais mis deux fois PEAR

Une traduction des minutes de la réunion du 8 juillet 2007

L'original est disponible ici: http://news.php.net/php.pear.dev/47328

Pour commenter sur les futurs standards de PEAR2 utilisez la page discussion du wiki.

Vos commentaires sont très importants, ce document va définir PEAR2.

http://wiki.pear.php.net/index.php/PEAR2_Standards

A noter le document est en anglais.

Une traduction des minutes de la réunion du 24 juin 2007 (désolé du retard !)

L'original est disponible ici: http://news.php.net/php.pear.dev/47232

Bertrand Gugger, plus connu sous l'alias toggg, était impliqué dans PEAR par son travail sur plusieurs paquetages.

Il nous a quittés soudainement dans la nuit du 16 au 17 juin 2007. Nos pensées vont vers sa femme et ses enfants.

Adieu Bertrand.

Page de recueillement: http://www.spip-contrib.net/Adieu-l-ami Une liste de ses contributions: http://www.spip-contrib.net/Les-Projets-de-toggg

Une traduction des minutes de la réunion du 3 juin 2007

L'original est disponible ici: http://news.php.net/php.pear.dev/46976

Voici une traduction d'un billet de Greg (le président de PEAR) à propos de deux décisions de taille venant d'être prise.

Il y a quelques minutes le PEAR Group a terminé sa troisième réunion à laquelle à assisté le dernier membre >élu du groupe: Paul Jones. Parmi les sujets abordés celui qui vous interessera surement le plus (ainsi que moi) >est la direction prise par le dépot de paquetages et l'installateur.

J'ai le plaisir d'annoncer de grands changements en travaux. Tout d'abord, un nouveau canal (channel) va être >créé pour le paquetages PHP5+ ainsi qu'un nouvel installateur pour créer ces paquetages. Le nouvel >installateur se nomme "Pyrus" est le genre auquel les poiriers appartiennent (pear signifiant poire en >français). Le nouveau canal reste à nommer vos commentaires sont les bienvenus pour nous aider à trouver >un nom. Le deuxième changement de taille est l'adoption de subversion comme dépôt de données pour les >nouveaux paquetages (il sera disponible à l'adresse, svn.pear.php.net).

Des détails suivront sur Pyrus au fur et à mesure de l'écriture du code. Vous pouvez le consulter pour le >moment à l'adresse suivante http://cvs.php.net/viewvc.cgi/pear-core/PEAR2. Ce code est destiné aux >développeurs.

Merci d'utiliser PEAR, le meilleur reste à venir.

Greg.

PEAR se dote d'un blog.

Le groupe et le président l'utiliseront pour vous tenir au courant des travaux en cours et obtenir régulièrement votre feedback.