allow_url_fopen enable or not ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • allow_url_fopen enable or not ?

    Bonjour à tous,

    Mon hébergeur m'empêche d'activer allow_url_fopen. Il invoque des problèmes de sécurités. Par contre si je veux vraiment je dois débourser !!
    Pour des raisons de sécurité, nous vous prions d'utiliser à la place de "allow_url_fopen" la fonction cURL.
    Je sais que joomla 2.5 et + s'appuie beaucoup sur allow_url_fopen pour les mises à jour.
    500 - Une erreur s'est produite
    Cannot use a stream transport when "allow_url_fopen" is disabled.
    Depuis la version 2.5.15, il n'arrive même plus à déterminer ça version!

    Est-ce qu'il y a un moyen, dans joomla, de changer globalement d'utiliser cURL au lieu de allow_url_fopen ?

    J'ai trouvé plein de sujet sur le thème, les utilisateurs sont souvent divisés ...
    Entre autre http://joomlacode.org/gf/project/joo..._item_id=27852


    Encore celui-ci


    Si quelqu'un a plus d'information sur le sujet, merci

    PS: Une question me turlupine: dans ces conditions, est-ce que mon hébergeur peut-il toujours affirmer la compatibilité avec Joomla ?
    Dernière édition par sharky à 13/11/2013, 10h47
    A+

  • #2
    Re : allow_url_fopen enable or not ?

    Envoyé par sharky Voir le message
    Bonjour à tous,

    Mon hébergeur m'empêche d'activer allow_url_fopen. Il invoque des problèmes de sécurités. Par contre si je veux vraiment je dois débourser !!

    Je sais que joomla 2.5 et + s'appuie beaucoup sur allow_url_fopen pour les mises à jour.

    Depuis la version 2.5.15, il n'arrive même plus à déterminer ça version!

    Est-ce qu'il y a un moyen, dans joomla, de changer globalement d'utiliser cURL au lieu de allow_url_fopen ?

    J'ai trouvé plein de sujet sur le thème, les utilisateurs sont souvent divisés ...
    Entre autre http://joomlacode.org/gf/project/joo..._item_id=27852


    Si quelqu'un a plus d'information sur le sujet, merci

    PS: Une question me turlupine: dans ces conditions, est-ce que mon hébergeur peut-il toujours affirmer la compatibilité avec Joomla ?
    je suis d'accord avec toi, change d'hébergeur...
    Christophe
    http://www.webcrea.fr

    Commentaire


    • #3
      Re : allow_url_fopen enable or not ?

      Bonjour,

      Les discussions sur la sécurité et allow_url_fopen et allow_url_include ne datent pas d'aujourd'hui, et le débat est loin d'être clos.

      Le PHP Group, tout comme PHP Security Consortium relèvent le danger d'autoriser allow_url_include (ce qui facilite les injections XSS). Et pour allow_url_fopen, c'est plus mitigé.

      Programmers frequently forget this and don't do proper input filtering when passing user-provided data to these functions, opening them up to code injection vulnerabilities. A large number of code injection vulnerabilities reported in PHP-based web applications are caused by the combination of enabling allow_url_fopen and bad input filtering.
      allow_url_fopen n'est pas une faille de sécurité per se, mais dépend très fortement de son utilisation. De trop nombreux scripts négligent le filtrage correct des input, ce qui ets la cause des problèmes, et pas mal d'hébergeurs préfèrent donc limiter la casse en interdisant ce mode.

      cURL, avec input mal filtrés, n'est guère plus sécurisé.

      Est-ce qu'il y a un moyen, dans joomla, de changer globalement d'utiliser cURL au lieu de allow_url_fopen ?
      Pour les updates, réécrire tout le code
      Mais vu que davantage encore d'hébergements interdisent l'extensiion php-curl, ça ne change pas grand chose au problème.
      Pas de demande de support par MP.
      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

      Commentaire


      • #4
        Re : allow_url_fopen enable or not ?

        Bonjour,

        En attendant, si d'autre personne rencontre le même problème que moi. Il faut remplacer le fichier stream.php de la version 2.5.16 par la version 2.5.14.

        Emplacement /libraries/joomla/http/transport

        Je joins le fichier dans un zip
        Fichiers joints
        A+

        Commentaire


        • #5
          Re : allow_url_fopen enable or not ?

          Re-Bonjour,

          Encore une question:
          Est-ce que quelqu'un aurai vu (genre officiellement) quelque part si allow_url_fopen fait partie des pré-requis Joomla ?
          A+

          Commentaire


          • #6
            Re : allow_url_fopen enable or not ?



            Bien que pas un prérequis absolu, le document est assez clair concernant les mises à jour.
            Dernière édition par jisse03 à 14/11/2013, 11h30
            Pas de demande de support par MP.
            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

            Commentaire

            Annonce

            Réduire
            Aucune annonce pour le moment.

            Partenaire de l'association

            Réduire

            Hébergeur Web PlanetHoster
            Travaille ...
            X