Salut,
@argenlos :
En fait, les changements que tu as fait ... n'ont rien changé en terme de sécurité !
Tu as supprimé le droit éxecuter de fichiers non exécutables.
Mais c'est un exemple intéressant :
En gros, si le compte www doit avoir le droit d'écrire sur un fichier contenant des données importante, on peut considérer qu'il y a un problème de sécurité, puisque le serveur web tourne sous www.
Après, que le fichier en question soit en 600 ou en 777 si l'owner du fichier est www, la différence devient subtile (voire inexistante).
En fait, la sécurité ne peut être traitée correctement que si elle est prise en compte lors des dev :
mauvais exemple puisqu'il s'agit de moi (et que comme chacun sait, j'ai une très haute estime de moi-même
)
Sur mon site, le compteur en bas de page est stocké dans une base mySQL.
une table existe, avec un enregistrement pour chaque page comptée.
Le compte qui accède a cette base n'a le droit d'écriture et modification que sur le champ compteur.
par contre, il a le droit de rajouter un enregistrement (cas d'une nouvelle page) mais pas de le modifier ou de le supprimer.
Ce genre de manip ne peut être efficace que si elle vient de la source.
En installant un package externe sur sa machine, on accepte implicitement la sécurité de l'auteur (et éventuellement, on est même moins bon, mais très difficilement meilleur).
A+,
Pascal
Eh, ne me laissez pas tomber !
