En général, la sécurité par l'obscurité est une des formes de sécurité les
plus faibles. Mais dans cerrtains cas, chaque action, aussi faible soit
elle, concernant la sécurité, est souhaitable.
Quelques astuces permettent de masquer PHP, et cela entrave les
pirates qui recherchent des faiblesses dans votre système. En
l'option expose_php à off dans votre fichier php.ini,
vous pouvez réduire la quantité d'informations disponible.
Une autre astuce est de configurer le serveur web, comme Apache,
pour qu'il utilise plusieurs types de fichiers différents avec PHP,
soit localement avec le fichier .htaccess, soit
dans le fichier de configuration lui-même. Vous pouvez utiliser des
informations déroutantes comme ceci :
Exemple 32-1. Masquer PHP avec un autre langage # Faire que le code PHP ressemble à un autre langage
AddType application/x-httpd-php .asp .py .pl |
|
Ou masquez le complètement :
Exemple 32-2. Masquer PHP avec des types inconnus # Faire que le code PHP ressemble à un autre langage qui n'existe pas
AddType application/x-httpd-php .bop .foo .133t |
|
Ou encore, cachez-le sous forme de html. Cela a un léger impact négatif
sur les performances générales, car tous les fichiers HTML seront aussi
analysés et traités par le moteur PHP :
Exemple 32-3. Utiliser le type html pour les extensions PHP # Faire que le code PHP ressemble à du html
AddType application/x-httpd-php .htm .html |
|
Pour que cela fonctionne efficacement, pensez à renommer tous vos
fichiers avec les extensions ci-dessus. Même si c'est une forme
de sécurité du non-dit, c'est une mesure de prévention mineure,
avec peu d'inconvénients.
