php

  • Nginx, php avancé masqué (un peu)

    Masque Nginx Header

    Dans le monde impitoyable du web, il vaut mieux ne pas trop donner d'information sur son serveur, version php, version nginx etc... La raison est toute simple, certaine version contiennent des failles de sécurités connues et exploitées. Lorsqu'un robot scanne les sites web à le recherche de proies, il n'est pas rare qu'il effectue une recherche sur tel ou tel type d'infrastructure web (nginx, php, mysql etc...). Il est donc assez important d'avancer masqué. On va essayer de laisser le moins de trace possible avec notre serveur php-fpm et Nginx.

    Exemple de faille connue pour la version 1.4.1 Nginx (celle que l'on trouve dans Ubuntu 13.10 par exemple). (la liste des failles c'est ici)

    • Stack-based buffer overflow with specially crafted request
      Severity: major
      Advisory
      CVE-2013-2028
      Not vulnerable: 1.5.0+, 1.4.1+
      Vulnerable: 1.3.9-1.4.0
      The patch  pgp

    • Serveur page personnelle Free.fr enfin en php 5.6

      C'est avec pas moins de 6 mois de retards que je donne cette astuce.

      Mes premiers sites internet ont tous été hébergés chez Free.fr. Mais depuis quelques années la version de php était bloquée à 5.1RC3. Du coup, il était impossible de passer à Wordpress 4.4.1 et Joomla 3.x. Je m'étais résigné à abandonner cet espace d'hébergement. D'autant plus, qu'il n'est pas vraiment performant et que je suis passés à d'autre FAI que Free.fr .

      Au détour d'un post chez Fredéric Bezies, j'apprends qu'on peut héberger du Wordpress 4.4.1 chez Free.fr. Je ne manque pas l'occasion de poser la question du comment fait on.

      J'apprends que depuis juillet 2015, il suffit d'ajouter une directive dans le .htaccess

      <IfDefine Free>
      php56 1
      </IfDefine>

      Si vous avez un Wordpress allez voir sur le site d'origine l'astuce complète. http://additifstabac.free.fr/index.php/deploiement-php-5-6-8-beta-serveurs-pages-perso-free/ (au passage vous pourrez arrêter de fumer ;) )

      Bref, j'ai ré ouvert mon blog purement politique (celui qui peut me mener en prison parce que sur le net on est plus dans une prison qu'autre chose). Cela me permettra aussi de tester d'autre manière de bloguer et surtout Wordpress.

      Je ne vous donne pas l'adresse de cet autre blog tellement il est facile à trouver.