allow_url_fopen enable or not ?

**webcrea** · 13/11/2013, 10h37

Re : allow_url_fopen enable or not ?

Envoyé par sharky Voir le message

Bonjour à tous,

Mon hébergeur m'empêche d'activer allow_url_fopen. Il invoque des problèmes de sécurités. Par contre si je veux vraiment je dois débourser !!

Je sais que joomla 2.5 et + s'appuie beaucoup sur allow_url_fopen pour les mises à jour.

Depuis la version 2.5.15, il n'arrive même plus à déterminer ça version!

Est-ce qu'il y a un moyen, dans joomla, de changer globalement d'utiliser cURL au lieu de allow_url_fopen ?

J'ai trouvé plein de sujet sur le thème, les utilisateurs sont souvent divisés ...
Entre autre http://joomlacode.org/gf/project/joo..._item_id=27852

Joomla! Forum - community, help and support - Information

http://forum.joomla.org/viewtopic.php?f=625&t=696128

Si quelqu'un a plus d'information sur le sujet, merci

PS: Une question me turlupine: dans ces conditions, est-ce que mon hébergeur peut-il toujours affirmer la compatibilité avec Joomla ?

je suis d'accord avec toi, change d'hébergeur...

**jisse03** · 13/11/2013, 10h48

Re : allow_url_fopen enable or not ?

Bonjour,

Les discussions sur la sécurité et allow_url_fopen et allow_url_include ne datent pas d'aujourd'hui, et le débat est loin d'être clos.

Le PHP Group, tout comme PHP Security Consortium relèvent le danger d'autoriser allow_url_include (ce qui facilite les injections XSS). Et pour allow_url_fopen, c'est plus mitigé.

Programmers frequently forget this and don't do proper input filtering when passing user-provided data to these functions, opening them up to code injection vulnerabilities. A large number of code injection vulnerabilities reported in PHP-based web applications are caused by the combination of enabling allow_url_fopen and bad input filtering.

allow_url_fopen n'est pas une faille de sécurité per se, mais dépend très fortement de son utilisation. De trop nombreux scripts négligent le filtrage correct des input, ce qui ets la cause des problèmes, et pas mal d'hébergeurs préfèrent donc limiter la casse en interdisant ce mode.

cURL, avec input mal filtrés, n'est guère plus sécurisé.

Est-ce qu'il y a un moyen, dans joomla, de changer globalement d'utiliser cURL au lieu de allow_url_fopen ?

Pour les updates, réécrire tout le code

Mais vu que davantage encore d'hébergements interdisent l'extensiion php-curl, ça ne change pas grand chose au problème.

**sharky** · 14/11/2013, 09h45

Re : allow_url_fopen enable or not ?

Bonjour,

En attendant, si d'autre personne rencontre le même problème que moi. Il faut remplacer le fichier stream.php de la version 2.5.16 par la version 2.5.14.

Emplacement /libraries/joomla/http/transport

Je joins le fichier dans un zip

Fichiers joints

stream.zip (1,9 Ko, 123 affichage(s))

**sharky** · 14/11/2013, 09h56

Re : allow_url_fopen enable or not ?

Re-Bonjour,

Encore une question:
Est-ce que quelqu'un aurai vu (genre officiellement) quelque part si allow_url_fopen fait partie des pré-requis Joomla ?

**jisse03** · 14/11/2013, 11h24

Re : allow_url_fopen enable or not ?

Security Checklist/Hosting and Server Setup - Joomla! Documentation

http://docs.joomla.org/Security_Checklist/Hosting_and_Server_Setup

Bien que pas un prérequis absolu, le document est assez clair concernant les mises à jour.

allow_url_fopen enable or not ?

allow_url_fopen enable or not ?

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association