Bonsoir,
 
J'ai une question assez spéciale et vos connaissances me seraient d'une grande utilité.
 
Voila, je voudrais savoir s'il existe un moyen de voir ce qui est exécuté au niveau du serveur php?
 
Je m'explique:
 
J'ai des pages encodées avec le zend encoder et je voudrais etre sur que celui-ci ne rajoute pas dans la source de mes pages des fonctions qui envoient des données confidentielles à zend comme la source de mes pages en clair par exemple, via mes pages ou via le zend optimizer.
 
 
Merci d'avance de votre réponse

Tu cherches à surveiller ta connexion en fait ?
IPtables + un bon firewall ou ethereal et tu contrôles tout.

Salut kalex,
 
Non je ne cherche pas seulement à surveiller ma connexion. J'ai déja zone alarm et une fois que j'autorise apache à acceder à internet je ne sais plus ce qui ce passe. J'utilise windows en local et j'ai ethereal pour controler les connection à internet et je ne connais pas linux (iptables ?) pourtant les pages seront hébergées sur un serveur linux   .
 
Je suis un peu parano et j'imagine le zend encoder rajouter dans mes pages :

 
De plus je ne fais pas confiance au zend optimizer niveau sécurité

Comme on dit : ne jamais utiliser des programmes dont on a aucune confiance.
Si t'as peur que zend optimiser permette une telle chôse alors ne l'utilise pas. Ca empéchera en rien ton systéme de tourner je penses, par contre, c'est vrai que ton code php sera en clair.  
 
Zend optimiser permet d'encoder le code php? Me semblait qu'il servait à en rendre l'exécution plus rapide en mettant en cache une version interprété de la page ou des données calculé par les scripts.

C'est ZendEncoder qui genere du code "compilé", ZendOptimiser ne fait rien de tout ca.. Parcontre on peut les coupler

Oui le zend encoder encode et precompile le code qui est interpreté par le zend optimizer et php lors de l'execution.
 
Mais le zend encoder rend le code source des pages php incomprehensible et protege les sources.
 
Je veux m'en servir car je compte heberger un site commercial en dédié chez un petit hebergeur et comme les employés de l'hebergeur ont un acces physique au disque dur du serveur ils peuvent tres bien acceder au code source des pages.
 
Je me disais que si on pouvait empecher l'interpreteur php d'executer les scripts que le zend optimizer lui a envoyé et l'obliger à les afficher ce serait excellent.
 
C'est possible à votre avis?

A moins que tu puisses specifier a Zend une extention differente que celle que apache envoie a l'interpreteur php : non je vois pas

1. Ca pose un problème ? Cet hébergeur emploi des racailles c'est ça ?
2. Ils n'ont pas l'accès root, pour accéder à tes données, il faut qu'ils montent le disque sur un autre système.
3. Il y a des systèmes de fs cryptés, donc efficaces même en cas d'accès physique au disque (là il va falloir te mettre à Linux ).
4. Tu as 1000 fois plus de change que tes problèmes de sécu viennent de l'un de tes scripts que d'une backdoor ou de ton hébergeur.

 
Je m'excuse mais ils en ont quoi à f.... de la source de tes pages  

Il a une page avec un merlin qui se balade sur l'ecran tout en sortant les prochains nums de la lotterie...
 
A part ça , meme si ses craintes sont pas forcemment justifiées, la question peut etre interessante ... Cependant j'ai toujours pas compris pourquoi ethereal suffi pas

Dans ses sources, il doit y avoir des trucs genre le mdp root mysql... Dans ce cas, il ferait mieux de changer ça (un user avec droit de select, update, insert, c'est déjà beaucoup).

C'est pas la peine de s'acharner sur moi, je pense juste que quand on à passé des centaines d'heures à creer un site et que on risque de le voir exploité par un autre avant son ouverture au public ça inquiete.
 
Le site doit etre chez l'hebergeur plusieurs mois avant son ouverture pour le faire tester par une societe de securité et si quelqun d'autre se l'approprie en changant juste le nom de la marque ce serait une catastrophe pour moi.
 
J'ai confiance en la securité de mes script car j'ai codé en cherchant à les rendres le plus clos possible au niveau de la sécurité.
 
Je pense que l'hebergeur se guarde toujours une porte de sortie et a la possibilité d'acceder aux serveurs et scripts en cas de necessité que ce soit pour parametrer les serveurs ou censurer des contenus illicites ( bien sur il peut toujours eteindre le serveur dans ce ce cas mais peut etre pas seulement).
 
Meme si les scripts sont compilés pour php et qu'il y a des conditions quelque part qui font que le code peut etre interpreté differement si un parametre change (ex: un code dans l'url), ça doit bien pouvoir ce voir quelque part ?
 
Les connexions seront en ssl donc pour savoir les infos que mon serveur envoi à une personne connectée ça va etre chaud avec un sniffer!
 

mike > personne ne s'acharne sur toi ...  
 
Pour le sniffer : p-e les données seront cryptées (quoique, tu peux lui dire de les prendre avant que le SSL passe si je me trompe pas ... ) , mais l'IP du destinataire non, et le debit transmis reste significatif.
 
Si tu vois que qqch part vers un IP de chez Zend (ou un autre ip louche) et qu'il transporte beaucoup de données, tu n'as qu'a enqueter la dessus, ou revenir nous en faire part pour qu'on menes notre petite enquete.
 
Concernant les hebergeurs, leur "porte de sortie" n'est autre que l'acces root à la machine ... Et donc si le mec a un acces root, meme si tu tapes tres fort du pied et que tu cryptes tout, il va pouvoir se servire ... Meme le fait de crypter tout ton fs peut etre vain, vu qu'il lui suffi de sniffer son reseau pour avoir ton motdepasse ..  
 
En gros : Si tu crains tant que ça ton hebergeur : Prend un dedié, change le mdp root , securise a fond et voila

On s'acharne pas, on essaye de te faire redescendre sur terre, tu n'es pas assis sur une mine d'or que tout le monde t'envie.
De plus, ton site semble être commercial, un concurrent qui te volerait ton travail ne pourrait pas continuer longtemps une activité commerciale dans l'illégalité. Le droit ça existe, t'es blindé de ce côté là au moins ?
 
Sinon, je vois tjs pas en quoi ethereal tu suffi pas. Si des données partent là où il faut pas, tu les vois facilement.

 
C'est vrai ? J'ai essayer sur windows pour savoir les infos que j'envoyaient à microsoft lors d'un windows update mais en vain . J'ai utilisé un proxy special (achilles) qui cree un tunnel entre le pc et le proxy et un autre entre le proxy et windowsupdate mais windowsupdate ne veux pas faire la mise à jour en me disant que la date et l'heure du certificat sont erronées (il detecte qu'il n'est pas connecté à mon pc directement car il ne reconnait pas le certificat client de mon pc utilisé pour les windows update)
 

 
Là ce sera trop tard. oui je sais je suis un peu parano !!
 

 
Je ne compte pas mettre le mot de passe root mysql dans mes pages.
Ce qui m'inquiete le plus ce n'est pas qu'on puisse avoir acces à mes bases mysql mais aux sources php.
Ah bon en sniffant son reseau il peut avoir le mot de passe root linux : c'est inquietant
 

 
L'INPI protege la marque mais pas le code source
 

 
Si un internaute est connecté sans avoir une ip provenant de zend et qu'il entre le code dans la barre d'adresse (c'est un exemple)

 
je parlais de ton mdp ftp/vpn/ssh/autre ... Si la machine est chez lui, qu'il a un acces physique sur la becane, il peut faire ce que bon lui semble (meme pretexter une panne pour pouvoir monter ton disk sur un autre serveur, le dupliquer et apres decrypter tes infos dessus).
 
A part ça je comprend pas le fait que tu n'aies pas pris un serveur dedié ... Le fait d'etre en mutualisé est deja une enorme faille de securité ... Franchement si t'en arrive a ce point de parano, il te faut un dedié, ou mieux encore, faire heberger toi meme ton propre serveur, comme ca tu lui fous meme un mdp dans le bios et dans le mbr ... Mais bon ... meme à ce moment la il peut toujours demonter son serveur, chopper ton HD, le chrooter et tout te voler ...
 

Je parlais de le faire avec des données sans importance ... Je doute que ZendEncoder soit apte a decider si un code vaut la peine ou non d'etre volé , et je doute encore plus que Zend paie des gugus pour se taper en boucle la liste des mecs qui ont installé ça sur leur serveur a la recherche de qqch d'important

Mais je compte prendre un dédié.
 
Y'a pas un moyen pour rendre les données du disque inexploitables sur une autre machine ?

Si on heberge un site chez soi la bande passante ca doit pas etre top et ca fait pas tres pro

J'ai dit "faire heberger ton propre serveur". ça s'appelle du server housing et ça coute une petée mais c'est tres bien pour les parano .
 
Pour ta question : Oui biensur qu'il existe des moyens, mais s'il est assez determiné il arrivera a peter le cryptage ...
Tout simplement parceque toi tu veux pouvoir acceder a tes données, et donc il lui suffira d'emuler ta facon d'acceder aux données pour arriver a les avoir aussi

Rien à voir. Ce code est ta propriété.
Tu ne crois pas sérieusement qu'un logiciel devient libre juste si qq1 accède aux sources ?

 
Oui mais comment prouver que c'est bien la marque qui à crée ce site.
Y'a pas de brevets pour les sites web ?
 

 
Oui je sais ce que c'est le server hosting et j'ai jamais dit que je voulais etre en mutualisé.
Comme le plus sur serait non pas de faire heberger son server mais de l'heberger soi-meme je dit juste que je peux pas l'heberger moi meme car j'ai une bande passante pourrie

Les droits d'auteur s'applique dans ce cas là, non ?  
Si c'est le cas, bah, tu t'envoie, à toi même, tes sources par la poste. (et t'ouvre pas l'enveloppe quand tu la reçoie, hein)

esox_ch y'a pas un logiciel sur linux qui pourrait proteger des dossiers par mot de passe en les cryptants comme lockfolderxp, pgp ... mais tout en rendant les pages web accessibles sur internet ?

Encore heureux !
 
Le code source appartient sans formalité à son auteur (au sens large). Mais pour faire preuve, un dépôt complet auprès d'un tiers est plus que conseillé.
 
(Tu vois que t'es pas blindé de ce côté là )

 
Tu connais une organisation digne de confiance qui fait ca ?

A priori un notaire, mais adresse-toi à un juriste spécialisé, c'est surement assez spécifique.

Sinon au niveau technique à propos de ma question principale personne n'a d'idée ?

pour savoir ce qui est exécuté ? peut être xdebug2 ...mais je sais pas si c'est réelement ce que tu veux

Tout est déjà dit :

vraiment dsl

Si je suis le seul à avoir le mots de passe et la clef pour décripter les données à priori meme si on emule ma façon d'acceder aux données, sans le passe c'est pas possible nom ?

Si on fait une sorte de echo «  au debut de la page encodée par zend encoder disant d’executer le code au niveau du zend optimizer et d’afficher ce qui sera executé par php sans executer pour autant ca pourrait allez non. Y’a pas une fonction qui fait ça ?
 
Vous allez me dire que le code est compilé et qu’on peut plus le voir, d’accord mais il sera executer par php donc il n’est pas en assembleur et php peut toujours afficher les erreurs en citant le code donc le code est récuperable, les fonctions sont bien quelque part

Je suis pas sur .. probablement ... mais avec tout ce bordel ton site va surment devenir un enfer a gerer et sera tres ralenti ... Cela dit je n'ai jamais fait ce genre de truc donc je ne peux pas trop trancher ... faudrait voir avec qqn de plus expert que moi ... je crois que benou travaille dans une boite de secu ... si c'est le cas il pourra surment t'aider

 
Je compte juste faire un test en local, si je suis sur que le zend encoder ne me rajoute pas des trucs bizares dans mon code j'enleverai tout ca

bein alors etereal + docs sans importance et roulez !

 
Mais avec ethereal comment je peux savoir si y'a

dans mon code ?

Bein tu vas voir une requete get qui entre, et ton code source qui sort

 
Mais je vais pas espionner toujours le serveur en prod pendant des mois avec ethereal pour savoir si un jour il y a eu ça.
 
En plus je ne crois pas que ce soit possible de parametrer ethereal pour qu'il capte les paquets avant le chiffrage SSL

Heu j'veux pas etre pessimiste ... mais en gros tu nous demande de combler un nombre extremement grand de failles, en aillant une config hardware digne d'une passoire, et sans passer du temps a matter les logs ... tu trouves pas que tu reves un peu?

Je demande à personne de tester la securite d'un serveur linux à la recherche de failles et je ne crois pas avec une config digne d'une passoire car en fait y'a meme pas de config puisque le site n'est pas encore sur un serveur linux mais en local sur un pc windows. Mais je suis plutot autodidacte (j'ai 18 ans et j'ai appris le PHP/HTML/CSS sur le tas) et je compte me mettre vraiment à la sécurité des serveurs linux lorsque le moment viendra.
 
Je cherche juste à savoir si on peut monitorer un serveur php pour savoir ce qui arrive en amont de l'execution

Non, c'est pas ce que tu demandes. Tu veux savoir s'il y a moyen de voir si un soft comporte une backdoor sans avoir le code source. La réponse est non, sauf si t'as envie de te taper le code machine.
Et même en disposant du code source, un audit ça ne se fait pas en quelques heures.
 
Pour être honnête, je me demande vraiment qu'est-ce qui te pousse à croire qu'une société sérieuse comme zend pourrait, non seulement mettre une backdoor dans ses programmes, mais en plus l'utiliser pour te voler ton si précieux code.
Si t'es vraiment parano, t'installes une BSD hyper sécu avec que de l'open source et t'oublis zend...