Interview de Stefan Esser
Par Armel FAUVEAU, mercredi 7 février 2007 à 18:22 :: Interviews :: #2950 :: rss
Federico Biancuzzi propose une interview intéressante de Stefan Esser, ancien membre de la PHP Security Response Team, qu’il a décidé de quitter il y a quelques semaines et dont il était à l’origine.
Stefan Esser a depuis toujours œuvré pour améliorer le niveau de sécurité de PHP. Il est l’auteur de nombreux correctifs (tant sur la branche PHP4 que PHP5). Il est également co-développeur du Hardening-Patch et de son successeur Suhosin (ange gardien en coréen) qui visent à durcir le niveau de sécurité de PHP.
Pour celles et ceux qui ne connaissent pas, Suhosin se compose de 2 parties. La première, bas niveau et sous la forme d’un patch, vise à protéger le mieux possible le cœur de PHP (le Zend Engine) de tout un tas de risques (buffer overflows, etc.). Quant à la seconde, sous la forme d’une extension PHP, elle ajoute de nombreuses sécurités afin de palier aux risques les plus courants que négligent souvent les développeurs : inclusions distantes, vulnérabilités liées à l’usage des fonctions eval(), mail() ou encore du motif /e de la fonction preg_replace(), les risques d’hijacking de session, etc. La liste est longue.
Stefan Esser s’exprime sur ses divers projets mais aussi sur sa démission récente de la PHP Security Response Team. Il argumente sa décision en critiquant la façon dont les remontées de bugs sont traitées. Mais aussi par les trop nombreuses critiques dont il a fait l’objet ses derniers mois. Certains membres du PHP Group lui ont souvent reproché de mettre en lumière les principales failles de PHP en les rendant public. Il semble enfin vouloir se démarquer de tout un tas de prétendus experts PHP en sécurité (auteurs d’ouvrages, conférenciers, etc.) qui, à ses yeux, n’y connaissent globalement rien, limitant les risques aux seules failles XSS et autres injection SQL.
Pour Stefan Esser, des failles spécifiques à PHP ne sont pas à négliger non plus, bien au contraire. A ce titre, il en profite pour annoncer le Month of PHP bugs, en mars 2007. A l’image d’événements similaires comme le Month of the Browser bugs ou encore Month of the kernel bugs, l’idée sera précisément de sensibiliser les développeurs PHP au fait que…oui…des failles existent en PHP !
Interview : PHP security from the inside
fil rss de PHP Index
Commentaires
#1 - Le vendredi 16 février 2007 à 05:40, par Armel
Ajouter un commentaire
Vous pouvez soumettre un commentaire en remplissant le formulaire ci-dessous. Toutes les contributions font l'objet d'une étape de modération par notre équipe.
Le code HTML dans le commentaire sera affiché comme du texte, les adresses internet seront converties automatiquement.