5160 sujets

Le Bar du forum

WampServer est-il fait pour la production ?

Bonsoir à toutes et à tous,

j'ai entendu dire que WampServer n'était pas fait pour la production mais bien pour le développement. Aujourd'hui j'ai créé ma page HTML accessible sur le net depuis mon ordinateur personnel !

J'aimerai connaitre les divergence entre une version de production et de développement ?
Est-ce essentiellement une question de protection ?

@+
Si tu fais tourner ton site sur ton Pc/windows, tu es mal barré au niveau sécurité, et je ne parle pas des performances. Smiley cligne

Il ne s'agit pas d'une réponse anti-windows: je ne ferai pas ce genre de choses sur mon Mac. Je préfère confier l'hébergement à quelqu'un dont c'est le métier, il y a des hébergements avec nom de domaine à 30€/an. Smiley smile
Modérateur
Salut,

@patidou : +1

Je ne vois pas trop l'intérêt d'un wamp sur le web.

Après, tu peux te monter un serveur (UNIX) et tu pourras accéder à tes documents depuis l'extérieurs (http/ftp/SSH/etc.). A la base UNIX est un environnement sécurisé. Si tu cloisonnes bien l'accès (je ne parle pas d'Apple), on ne peut pas remonter ton réseau (jail) Smiley cligne Une petite bécane extérieur à ton poste de travail fera l'affaire. Par contre si tu as besoin d'une grosse bande passante, je rejoins l'idée de Patidou.

Après si t'es fan de µ$$oft, attend toi à débourser : Bécane + OS + serveur
Modifié par niuxe (26 Mar 2012 - 22:17)
+1 pour la sécurité, et même en ayant son propre serveur sous TUX, la sécurité, c'est loin d'être simple et c'est plein de compromis sécurité/confort de navigation pour les utilisateurs.

Si tu n'es pas à l'aise sur ça, un bon hébergement et bien mieux, et laisse l'esprit "plus tranquille" !
Quand tu vois que sous WAMP le mot de passe MySQL par défaut pour l'utilisateur Root est laissé vide, ça en dit long sur la sécurité du machin.
Bonsoir à toutes et à tous,

merci de votre participation.
En ce qui concerne ma question, c'était de savoir comment remédier au problème de la sécurité :
--> au niveau de ma Neufbox de chez SFR.
--> au niveau de mon ordinateur.
--> au niveau de mon serveur Apache 2.2.21
--> au niveau de l'organisation de mes répertoires.
Je recherche que des conseils ! Smiley smile

@ Patidou : tes remarques sont intéressantes ! Pourrais-tu en dire plus sur WampServer ?

@ Niuxe : je suis un amateur et non un professionnel du web.
J'apprends à concevoir un serveur WEB. Ce qui m'intéresse, c'est de toucher à tout.
Je n'ai pas besoin d'une grosse bande passante, et mon but est purement personnel.

@ Super_baloo8 : une chose après l'autre et je ne désire pas bruler les étapes. Dès que mon site aura atteint une certaine volumétrie, je passerai chez un hébergeur. Pour l'instant, j'essaye de comprendre les problème de sécurité avec WampServer.

@ Tous : je sais que vous êtes tous des professionnels expérimentés du WEB et cela depuis des années. Bien que je connaisse l'informatique, j'apprends le WEB en autodidacte et j'arrive à me débrouiller. C'est sûr, j'ai encore des lacunes.

Donc que pouvez-vous me dire sur la question de la sécurité ? Au moins les grandes lignes.

Je sais que Zardoz m'avait conseillé un hébergeur, mais sachant que j'ai maintenant un petit vernis avec Wampserver, est-ce qu'il y a d'énormes différences avec un serveur de production ?

Je commence à maitriser .htaccess ! Si j'ai bien compris, dans tous mes répertoires, je dois en placer un. Est-ce que la sécurité se résume à cet utilitaire.
En ce qui concerne Windows XP, j'ai activé sur mon ordinateur les permissions (onglet sécurité dans propriétés, avec les noms des utilisateurs, administrateur, tout le monde, invité ... et les autorisations avec control total, modification, lecture, écriture, exécution, autorisation spéciale). N'est-ce pas suffisant comme sécurité ? Ensuite, il y a le pare-feu de windows et la déclaration des ports et des utilitaires.

Que me suggérez-vous de faire ?

@+
Modifié par Artemus24 (27 Mar 2012 - 02:51)
Modérateur
Bonjour

a écrit :
@ Super_baloo8 : une chose après l'autre et je ne désire pas bruler les étapes. Dès que mon site aura atteint une certaine volumétrie, je passerai chez un hébergeur. Pour l'instant, j'essaye de comprendre les problème de sécurité avec WampServer.

Smiley eek Ben justement c'est ce que j'appelle brûler les étapes. En général on commence chez un hébergeur mutualisé, et on fait de la config de serveur pour des gros projets, ou pour de multiples petits.

a écrit :
Je sais que Zardoz m'avait conseillé un hébergeur, mais sachant que j'ai maintenant un petit vernis avec Wampserver, est-ce qu'il y a d'énormes différences avec un serveur de production ?

Euhh oui, tu es derrière une ip fixe? je doute. Il faudra payer pour adapter un système, laisser tourner un serveur jour et nuit, pour perdre du temps à des config pour au final avoir une mule qui tourne pas bien. Te poser les questions des backups etc. Tout ça risque de te coûter plus cher en temps, en argent qu'un mutualisé...

a écrit :
Je commence à maitriser .htaccess ! Si j'ai bien compris, dans tous mes répertoires, je dois en placer un. Est-ce que la sécurité se résume à cet utilitaire.

Tu as mal compris. Un htaccess est fait pour surcharger les paramètres du serveur. Tout cela doit être fait dans la config du serveur, même un sous-utilisateur ne devrait pas utiliser plus de 2 ou 3 htaccess si son site est bien construit.

a écrit :
Donc que pouvez-vous me dire sur la question de la sécurité ? Au moins les grandes lignes.

Si c'est ton serveur dans ton bureau c'est pas bien complexe. Tu n'autorise aucun accès sauf sur le port 80, et en réseau local, comme ça tu y a accès de puis ton ordinateur. Voilà dans les grandes lignes

a écrit :
(onglet sécurité dans propriétés, avec les noms des utilisateurs, administrateur, tout le monde, invité ... et les autorisations avec control total, modification, lecture, écriture, exécution, autorisation spéciale)

Pour faire de la sécurité sous win, il faut payer un spécialiste certifié win, c'est le principe. (et je ne le suis pas ^^)
Modifié par kustolovic (27 Mar 2012 - 10:44)
Je ne connais pas wampserver : j'ai un mac. Mais c'est le même problème pour tous les ordis qui font serveur sur le web, ils doivent être bien configurés pour éviter les intrusions et les piratages. Le meilleur système (comme dit plus avant) c'est un ordinateur qui fait tourner Linux (ou bsd) mais là encore il faut bidouiller pas mal et s'y connaître vraiment.

Si tu prends un hébergement mutualisé, il n'y a rien de plus simple à utiliser : tout est déjà configuré, il suffit d'un client ftp pour copier les fichiers sur ton site et vogue la galère.
Modifié par Patidou (27 Mar 2012 - 11:31)
Comme tu l'as compris, les serveurs packagés (wamp, xampp etc) sont destinés à faciliter la mise en place d'un environnement de développement et de test.
Les logiciels ne sont pas à jours, ne disposent pas des correctifs etc.
Au delà des problématiques de sécurité, tu risques surtout de t'emm.. pour pas grand chose.

Pour déployer ton site, tu as le choix entre les pages persos (free, sfr etc), et tous les hébergeurs du monde.

Si tu veux apprendre à déployer une stack complète, installe-toi une partition ou vm linux, apprends les bases des commandes (filesystem, ssh, installation de paquets) qui seront quasiment les mêmes sur tous les systèmes *nix, osx y compris.
Apprends ensuite à configurer apache, une db, tout le savoir est disponible sur les interwebs.

Tu pourras alors te prendre un petit vps pour déployer "pour de vrai", et une erreur/faille ne compromettra que ce dernier, sans mettre en péril ta propre machine.
Modifié par paolo (27 Mar 2012 - 15:35)
Artemus24 a écrit :

Je commence à maitriser .htaccess ! Si j'ai bien compris, dans tous mes répertoires, je dois en placer un. Est-ce que la sécurité se résume à cet utilitaire.


Un fichier htaccess c'est juste un fichier de configuration d'Apache, pas un utilitaire. Et pas grand chose à voir avec la sécurité non plus.
Modifié par jb_gfx (27 Mar 2012 - 16:57)
Modérateur
Et l'eau,

a écrit :

Quand tu vois que sous WAMP le mot de passe MySQL par défaut pour l'utilisateur Root est laissé vide, ça en dit long sur la sécurité du machin.


+1. Sur MAMP (version free), j'ai déjà vu des énormités dans le php.ini : magic_quotes, display_error, etc.

Perso, je trouve que de plus en plus, ces utilitaires sont fait pour tester et à peine développer des petits projets.
Pour éviter des souci lors de la mise en prod, il vaut mieux être le plus proche du serveur final.

a écrit :

@ Niuxe : je suis un amateur et non un professionnel du web.
J'apprends à concevoir un serveur WEB. Ce qui m'intéresse, c'est de toucher à tout.
Je n'ai pas besoin d'une grosse bande passante, et mon but est purement personnel.


Justement, intéresse toi à monter un serveur si tu en as le temps. Pour une sécurité optimale, un bon bsd fera l'affaire. Smiley cligne Unix est le roi des OS. Tous les autres OS (y compris µ$$oft) se sont inspirés de cet OS. A noter qu'Apple est un UNIX à la base.

Pourquoi oublier WAMP ou easy-php ou XAMP ?
* Lire les problèmes évoqués en amont de ce sujet.
* Tout en restant objectif : Désolé mais µ$$oft grand public, c'est de la passoire et ça fait un beau chiffre d'affaire pour les éditeurs anti sales bestioles. Je ne parle pas des intrusions. A noter que sur Unix, il n'y a pas beaucoup d'anti-virus (quasi null)

a écrit :

Tu as mal compris. Un htaccess est fait pour surcharger les paramètres du serveur. Tout cela doit être fait dans la config du serveur, même un sous-utilisateur ne devrait pas utiliser plus de 2 ou 3 htaccess si son site est bien construit.


+1. Normalement un seul suffit si ton site est bien construit.

a écrit :
Un fichier htaccess c'est juste un fichier de configuration d'Apache, pas un utilitaire. Et pas grand chose à voir avec la sécurité non plus.


Oui et non. kustolovic, explique très bien ce qu'est un htaccess. Surcharge des paramètres d'Apache. Donc surcharge les paramètres de sécurité.

En général, je n'aime pas cette Maxime (Qui c'est ça Maxime Smiley eek ?) : Diviser pour mieux régner. Mais là pour le coup, ce dicton prend tout son sens. (Si tu veux héberger ton site, pourquoi pas. Mais pas sur ta machine de travail)
Modifié par niuxe (27 Mar 2012 - 22:58)
Bonsoir à toutes et à tous,

en tout cas, merci pour vos commentaires.

Il est vrai que mon OS (Windows XP) commence à être un peu vieux, mais je l'aime bien.
Je pensais basculer sur Windows 8, dès sa sortie, mais en vous lisant, je crois comprendre que je devrais me tourner plutôt vers un LINUX dédié uniquement à mon serveur Web. Un Berkeley Software Distribution (=BSD) n'est pas pour moi car inabordable à l'achat !

J'avais bien compris que WampServer était fait pour le développement et non la production, mais je pensais que pour un petit site comme le mien, cela pouvait suffir.
En ce qui concerne la sécurité, j'ai actionné celle de Windows en faisant en sorte que mon site (ce n'est qu'une vitrine) soit accessible uniquement en lecture.
Donc j'ai en priorité, la sécurité de Windows (les permissions) ! Et elle fonctionne bien.
Pour mon serveur web, j'ai mis des users avec des mots de passes car j'ai deux environnements : un pour le développement et un pour la production.
En ce qui concerne la sécurité de la base de données, j'ai mis celle de windows en lecture et écriture uniquement.
J'ai fait des tests basiques d'accessibilités et de modifications avec succès. On peux ni lire ni détruire ce qui n'est pas autorisé.
Je pense que c'est le minimum que je peux faire.

J'ai lu les tutorials qui expliquaient le minimums requis sur la sécurité.
Maintenant, je me pose la question d'une sécurité plus élaboré ?
Si l'utilisateur ne peut que lire et modifier, là où il est autorisé à le faire, je ne vois pas très bien ce que je peux faire de plus ?
J'ai renommé mon port 80 en un autre port afin qu'il ne soit en conflit avec IIS et Skype.

@+
Modifié par Artemus24 (28 Mar 2012 - 01:52)
Bah j'ai envie de dire que vu la quantité de faille qu'on peut trouver dans +/- n'importe quel code (j'ai été un peu horrifié en lisant le livre de Damin Seguy sur la sécurité php 5 et mysql), il doit y avoir une tonne de faille de sécurité sur ton serveur qui fait que les gens peuvent accéder à tes comptes root (et donc modifier tes permissions), ou encore injecter des virus directement sur la machine,... sans que toi tu puisses l'imaginer.

Après, j'y connais rien en sécurité de serveur, encore moins sous windows, mes serveurs sont en linux...
Si tu crois qu'il suffit de modifier les règles d'écriture et de lecture Artemus, tu vis dans un autre monde Smiley lol
Modérateur
Artemus24 a écrit :

Un Berkeley Software Distribution (=BSD) n'est pas pour moi car inabordable à l'achat !


Je pense que tu as une méconnaissance de BSD Smiley cligne

ex : http://www.openbsd.org/fr/

Il y en a d'autres bien sûr. Avec les pseudos hackers improvisés, ils se casseront le nez.

Sinon, il y a TUX qui peut remplir grandement tes besoins.
Modifié par niuxe (28 Mar 2012 - 09:22)
Puis il y a aussi freebsd, plus facile d'accès, mais bon faut s'y connaître.

Artemus24, franchement si j'étais toi j'attendrais d'avoir suffisamment de connaissance dans le domaine avant de me lancer. Tu peux t'amuser à jouer aux hébergeurs en installant un linux dans une machine virtuelle, c'est gratuit et si tu te plantes ben c'est pas grave et ton pc windows est toujours opérationnel.
Modifié par Patidou (28 Mar 2012 - 09:57)
Bonsoir à toutes et à tous,

@ Lothindil : je ne suis pas un spécialiste du monde web. Dans ce domaine, j'apprends et je fais beaucoup de tests.
Je suis entièrement d'accord avec toi, que même avec la meilleur volonté du monde, on ne peut pas se protéger contre le hacking !
Mais comme je l'ai dit, je pense avoir fait le minimum selon mes connaissances du moment.
Et comme je ne suis pas un spécialiste, j'ai sûrement oublier de faire quelque chose d'important. Je le reconnais !
Et je ne parle même pas de mon manque d'expérience dans le domaine de la sécurité.

@ Fabious : je l'ai dit, c'est le minimum requis ! Mon intervention a surtout été faite sur les permissions de chez Windows.
J'ai le mérite de m'y intéresser. Je sais que c'est un gros pavé qui est très souvent dédaigné par méconnaissance de ce que l'on peut faire.
Les grosses failles sont souvent les ports. N'importe quel ordinateur avec un accès directe sur un réseau est une vrai passoire.
Il y a encore quelques années, par défaut, le disque C était un disque accessible en partage par l'intermédiaire du nom '$C'.
De ce fait, on utilise des Fire Walls et autres outils de réseaux pour blinder les échanges, mais on ne peux pas penser à tout.
Et puis, si on blinde tout, on ne peut plus rien faire.

@ Niuxe : bien vu ! A part quelques mini systèmes UNIX comme HPUX, digital (vax, ultrix), je n'ai fait que travailler sur des gros systèmes.
Donc oui, ma connaissance de ce type de matériel est assez réduite. Et puis, cela remonte minimum à une quinzaine d'année.
Donc il y a eu beaucoup d'eaux qui ont coulé sous les ponts. Et je ne savais même pas que l'on pouvait installer un OS UNIX sur un micro ordinateur.

@ Patidou : merci Patidou !
Tu as tendance à m'orienter vers une solution logiciel pour répondre à des besoins que je considère comme [u]surdimensionné[/u] ! Est-ce le cas ?
En fait, je n'ai qu'un petit site en cours de construction du genre vitrine (enfin pour l'instant).
Il y a bien quelques échanges avec mon serveur web, par des scripts PHP et via MySql !
Mon objectif est l'apprentissage du monde web.
Aujourd'hui je me consacre à WampServer et a sa configuration et en particulier à sa sécurité.
L'étape suivante sera un hébergeur car je saurais alors les inconvénients de l'administration pour les avoirs vécu.
Mais si WampServer est bien pour le développement, et que je ne désire pas tout réapprendre avec un autre serveur web, est-ce que la solution est l'hébergement ?

@ tous : je crois que jb_gfx m'avais jadis répondu qu'il n'existait pas de livres sur WampServer. Est-ce bien encore le cas ?
Et d'une manière plus général, n'y a-t-il pas des livres sur la sécurités du WEB ?

Encore merci de votre participation enrichissante.
Artémus24.
@+
On commence toujours par un hébergement mutualisé, ou un serveur dédié infogéré (si on a les finances).

Tu préfères mettre en péril la sécurité de ton PC, c'est ton choix.

Wamp (Xamp) n'est pas fait, et ne sera jamais fait pour la production, au mieux, une réplication de ton hébergement pour pouvoir coder sur des plateformes "similaires" avec des réactions "similaires" elles aussi.

L'hébergement en ligne ne coute vraiment plus grand chose pour commencer (moins de 20€ par an ex: http://www.online.net/hebergement-mutualise/offre-online-basic.xhtml)

Pourquoi je dis que l'hébergement est important ? Parceque dans un premier temps, concentre toi sur le développement de tes scripts en pensant à la sécurité que cela implique (Xss, Injections SQL, CSRF, Assertions et j'en passe ...)

Déjà, je pense que tu en as pour un bon paquet de temps.

Ensuite, tu pourras commencer à regarder pour te monter ton propre hébergement, avec :

- Sécurité du serveur (droits d'accès, droits d'écriture/lecture/execution, gestion de groupe etc ...)
- Apprentissage des règles de pare feux (INPUT, FORWARD, OUTPUT; DROP, ACCEPT ...) avec gestion du nombre de requête avant chaque action, en trouvant le juste milieu pour ne pas bloquer tout le monde
- Prévention des attaques DOS et DDOS
- Prévention des attaques par script / brute force
- Gestion des mises à jours des paquets (automatique/manuel)

Et j'en passe encore plein.

Après tout, tu fais ce que tu veux, mais tu fais le chemin à l'envers.
Sujet clos
Aller à