Sécurité: meilleures pratiques pour les fonctions et les classes disabled
Parce que Joomla utilise tellement de composants tiers, quelles sont certaines fonctions et classes sécurisées à ajouter au php.ini pour disabled_classes and disabled_functions?
La raison pour laquelle je demande ceci est de verrouiller davantage un serveur, il est préférable d'ajouter davantage à ces propriétés php.ini.
exec() est évident, mais ceux comme base64_decode() ne sont pas utilisés fréquemment, existe-t-il d'autres fonctions sûres et utiles? (sans compter les valeurs par défaut utilisées par php).
NOTE: Ceci n’est pas considéré comme un "remède à tous" pour la sécurité, juste une partie de la sécurité.
Voici quelques recommandations courantes que les gens recommandent de désactiver:
show_source, system, Shell_exec, passthru, exec, popen, proc_open,
Surtout dans les environnements Joomla sans aucun problème. C’est vraiment plus une affaire d’utilisation quand il s’agit de certaines fonctions, mais dans l’idéal, vous ne voulez pas laisser les fonctions particulièrement chancelantes si vous ne les utilisez pas. Je recommande également de désactiver les méthodes HTTP qui ne sont pas utilisées de manière arbitraire ou systématique, comme DELETE ou TRACE.
Si vous utilisez les paramètres de php.ini pour désactiver les fonctions essentielles afin de vous offrir davantage de "sécurité", vous avez déjà échoué.
La sécurité du serveur ne se limite pas à la désactivation de fonctions. Enfait, un serveur très sécurisé n’a pas besoin de PHP Les fonctions sont désactivées de la façon dont vous vous référez.
De plus, si vous implémentez des fichiers php.ini (.user.ini) par utilisateur pour désactiver ces fonctions, il suffit à un pirate informatique de les supprimer pour accéder aux fonctions que vous pensiez sécurisées et bloquées!
Même si le "liste de contrôle" officielle " dit de désactiver les fonctions, ne croyez pas tout ce que vous lisez à ce sujet!
Une bonne pratique consiste à avoir un utilisateur système exclusif pour exécuter votre joomla. Ainsi, vous pouvez limiter cet utilisateur à accéder uniquement au dossier joomla.
Je pense que vous devez éviter de désactiver ces fonctions car une extension peut en avoir besoin pour le bien et non pour le mal.