Sécurité du PHP : débat et scission chez les développeurs

Une polémique fait actuellement rage dans le secteur de la sécurité du PHP. ll existe visiblement des différences d’opinions quant à la gestion des bugs et des failles signalées sur cette technologie utilisée par un très grand nombre de sites, dont celui de votre serviteur.

Stefan Esser, un membre de la PHP Security Response Team, a décidé de quitter l’équipe pour cause de vision divergente des évènements. Selon lui, les réactions aux bugs et failles sont bien trop lentes. Ses tentatives pour rendre le PHP plus sécurisé se sont révélées futiles. Il explique même qu’il est inutile de compter le nombre de fois où il a été accusé d’être un traître quand il publiait un bulletin de sécurité à propos d’une faille.

C’est que la méthode visant à sécuriser davantage le PHP est au cœur des débats. Selon Esser, le temps de réaction de l’équipe est beaucoup trop long. Seules trois personnes seraient affectées à la résolution des bugs et le manque de suivi provoque divers problèmes : failles partiellement corrigées, bugs réintroduits, etc. Son départ lui permettra selon lui de pouvoir continuer à émettre des bulletins de sécurité. Probablement une méthode pour provoquer des réactions.

Du côté des autres développeurs, l’attitude semble plus proche de la « technique » utilisée par les grands éditeurs : pas de bulletin de sécurité tant que la faille n’est pas corrigée. L’information reste donc bien au chaud, et ne risque pas de provoquer de répercussions indésirables. Zeev Suraski, responsable technique chez Zend, explique que la situation est provoquée par nombre de développeurs inexpérimentés qui utilisent le PHP de manière insécurisée.

Quand bien même, Esser estime que le langage pourrait être sécurisé davantage pour justement prendre en compte le fait qu’il est employé par un nombre trop important de développeurs inexpérimentés. Du côté de Zend, Suraski espère qu’Esser reprendra ses esprits et réintègrera l’équipe de sécurité. Il espère également que le « mois des bugs de sécurité du PHP » programmé par Esser quelque part en 2007 sera abandonné, de peur d’endommager le projet dans sa globalité.

On notera que Stefan Esser fait également partie du projet Hardened PHP dont l’objectif est de proposer des correctifs destinés à améliorer la sécurité du PHP. (Merci LiNuCe)

Source : Heise Security

Vincent Hermann le 15 décembre 2006 à 06:34 (24 615 lectures)

Tweeter

• 14 / 12 / 2006 : Moteurs de recherche : 4,4 % des résultats sont dangereux
• 14 / 12 / 2006 : Vol de portable chez Boeing, 382 000 identités exposées
• 13 / 12 / 2006 : Certains comptes Hotmail pris en otage, rançon exigée
• 13 / 12 / 2006 : Microsoft : bulletin de sécurité de décembre 2006
• 13 / 12 / 2006 : Lutte contre le spam : Free met un filet devant le port 25
• 13 / 12 / 2006 : Seconde faille "extrêmement critique" dans Word
• 12 / 12 / 2006 : Kaspersky prédit une pluie de malwares pour Vista
• 11 / 12 / 2006 : MultiDropper, premier spyware sur téléphone mobile

Actu Précédente Actu Suivante