Plaçons la barre haute pour la sécurité de Joomla 3.3

Plaçons la barre haute pour la sécurité de Joomla 3.3

Pour commencer, avec Joomla 3.3 la version minimale requise en PHP est portée à PHP 5.3.10

Là , je l'ai dit. Pas de levée de boucliers ? Bien, voici le scoop

Ce post va traiter des choses suivantes :

* Pourquoi changer maintenant
* Pourquoi la barre des éxigences n'a-t-elle pas été portée plus haut depuis le début des 3.X ?
* Comment les extensions en seront-elles affectées ?
* Pourquoi n'ai-je reçu aucun avertissement ? Que dois-je vérifer ?
* tl;dr ... Que se passera-t-il si mon hébergeur n'est pas prêt pour Joomla! 3.3 ?

 

Commençons par "Pourquoi changer maintenant ?"

La série Joomla! 3.X devrait aboutir avec la version stable à long terme (LTS) dans l'année en cours, et elle sera ensuite supportée pendant au moins 2 années supplémentaires. Il y aura une modification significative dans la version de la série PHP 5.3.X menant à la version PHP 5.3.10 qui améliore sensiblement le niveau de cryptage qui peut être utilisé pour la sécurité des mots de passe. En sachant combien de temps les sites sous Joomla! 1.5 et 2.5 peuvent encore rester en service, il est facile de prédire que les sites sous Joomla! 3.X, des séries en fin de vie, dureront au-delà de trois ans à partir de maintenant.
Aucune personne ayant un site sous 3.X ne veut faire l'expérience des problèmes de sécurité, ni ne veut souffrir de rumeur comme quoi il n'est pas correctement protégé. Avec les progrès constants des techniques de piratage, ce serait rendre un bien mauvais service à la communauté Joomla! que de ne pas profiter des algorithmes cryptographiques beaucoup plus sûrs accessibles avec PHP 5.3.10 et de ne pas les rendre disponibles pour la prochaine version LTS.

La direction de notre équipe de production (PLT) aurait pu choisir la voie de tests conditionnés et utiliser le logiciel adapté aux fonctions PHP sur chaque serveur. Tel ne fut pas son choix. La sécurité est déjà compliquée, impliquant beaucoup de codes alambiqués, avec en plus la flexibilité pour adapter les serveurs mis en service il y a trois ans et non mis à jour depuis, est une perte de performances que tout le monde aurait à supporter pour la commodité de quelques hébergeurs qui n'ont pas maintenu leurs serveurs.
Au lieu de cela, nous mettons en place le mot de passe cryptographique le plus sécurisé disponible pour l'utilisation dans les éventuelles séries 3 LTS en l'intégrant dans la version 3.3 et en permettant son utilisation pour tous les nouveaux sites web basés sur la version 3.

La sécurité du site web est dans l'esprit de tous avec la cible massive récente du stockage des données, des cartes de crédit, des magasins et la compromission du mot de passe de l'abonnement Adobe, même les propriétaires de sites de type CMS sont de plus en plus conscients de la sécurité.
Joomla! a toujours traité la sécurité avec le plus grand respect. Même aujourd'hui, près d'un an après la fin de vie de Joomla! 1.5, les sites sous Joomla! 1.5.26 restent très sécurisés, tant que le dernier patch-fin-de-vie a été appliqué. Le post de la semaine dernière, concernant les principaux hébergeurs qui ont arrété des sites Joomla 1.5 sur des éléments injustifiés FUD (Fear, Uncertainly and Doubt - Peur, Inceritude et doute) à propos de "fragilités" qu'ils auraient trouvées pour les sites sous Joomla! 1.5 qui n'avaient pas subi la mise à jour avec la dernière version et le dernier patch, plus les risques associés avec n'importe quel logiciel fonctionnant sous PHP 5.2 !

D'autres avantages avec ce changement ? Avec les fonctionnalités incluses dans Jomla! 3.2 et à venir sous Joomla 3.3, nous permettons aux utilisateurs de mettre en place l'une des solutions la plus sécurisée disponible pour le CMS.

 

Devions-nous placer la barre plus haute dès les premières versions de la série 3.x de Joomla! ?

Peut-être, particulièrement si nous avions eu l'expérience que nous avons obtenu lors de nos récentes expériences. Le retour d'expérience du challenge de l'été 2012 prédisait que les développeurs auraient besoin d'accéder au minimum à l'automne 2014 au PHP, comme pour la série 3.X LTS. Avec l'aide d'une boule de cristal, et pour les deux versions de Joomla! séries 1.5 et 2.5, les prévisions faites au démarrage de cette série se sont incroyablement bien déroulées.

Un des défis que nous avons relevé en novembre dernier avec l'intégration des fonctions de sécurité améliorée dans Joomla 3.2 démontrait le nombre astronomique des principaux hébergeurs dont les serveurs faisaient tourner des logiciels significativement dépassés. Nous nous sommes également aussi rendu compte qu'aucun de nos testeurs dans la communauté n'avait de serveurs assez anciens pour découvrir qu'il pourrait y avoir des problèmes causés par les versions les plus anciennes de PHP. Nous aimerions que Joomla! soit installable sur le plus grand nombre d'hébergeurs et de serveurs que possible, ce serait comme abandonner le support de IE6. Le temps est venu de supprimer l'accumulation de la sécurité de nos logiciels, sur des machines non maintenues par le plus petit des dénominateurs communs, sur le marché de l'hébergement.

 

Je suis curieux, comment savoir ce qui est vraiment vieux ?

Certains détails. La dernière version de PHP est 5.5.8, PHP 5.2 fin de vie en janvier 2011. C'était il y a trois ans, depuis de trop nombreux sites en Joomla! 1.5 sont encore avec cette version. Lorsque la série Joomla 3 est sortie en 2012, nous avons défini la version minimum en PHP 5.3.1 publiée en Novembre 2009, laquelle courait jusqu'en mars 2010. Avec cette modification, le minimum vers lequel nous tendons est PHP 5.3.10, publié en février 2012 et qui sera la vesion courante jusqu'en avril 2012. Donc ce problème affecte les serveurs mis en fonction au début 2012 et non mis à jour depuis.

 

En quoi les extensions seront affectées ?

Elles ne devraient pas l'être. De par sa conception, la série Joomla 3.X est supposée être retrocompatible depuis la premiêre version 3.0 jusqu'à la vesion stable à long terme 3.5. C'est pour les développeurs d'extensions qui ne sont pas connues jusqu'à ce qu'ils aient mis à jour leur extension pour fonctionner correctement avec l'API de la série 3.X.

Cette annonce ne change pas la rétrocompatibilité des extensions correctement développées. Toutes les extensions qui utilisent correctement l'API de la série 3.X devraient être totalement inchangées. Les quelques extensions qui remplacent partiellement la création des comptes dans Joomla! et les plug-ins de connection avec leur propre sécurité et authentification devront être testées par le développeur de l'extension avant la sortie de Joomla! 3.3.

 

Pourquoi je ne reçois aucun avertissement ? Que dois-je chercher ?

Parce que, la prochaine version de la série 3.X Joomla! 3.2.2 devrait être publiée la semaine prochaine et lors de l'installation, Joomla testera la version PHP de votre serveur. Si ce n'est pas PHP 5.3.10 ou supérieure, un message de post-installation vous préviendra que votre serveur n'est pas Joomla! 3 READY. Si vous n'avez pas de message, c'est que c'est tout bon!

Si vous voulez tester dès maintenant, connectez vous en Administrateur et allez dans Système ==> Informations Système ==> Version de PHP, vous devriez voir la version PHP de votre serveur.

 

Que se passera-t-il si mon hébergeur n'est PAS 3.3 READY ?

Premièrement, aucun mal ne sera fait à votre site. A partir de la version 3.2.2, une nouvelle fonctionnalité dans le système de mise à jour du noyau permettra de tester votre version PHP et si votre serveur n'est pas Joomla! 3.3 READY, cette mise à jour ne pourra pas installer un code que votre serveur ne peut supporter. En outre, pour les six mois après la sortie de Joomla 3.3, le Projet Joomla! publiera des mises à jour de sécurité pour les deux versions 3.2 et 3.3 (ainsi que pour la 2.5) ainsi n'importe quelle vulnérabilité pourra être rapidement corrigée avec une mise à jour un-click sans avoir à migrer immédiatement vers la version Joomla 3.3, vous donnant le temps de demander à votre hébergeur de mettre à jour sa version de PHP. Il est toutefois important de se souvenir que ce n'est qu'un délai de grâce de six mois, et vous finirez par avoir besoin de mettre à jour au-delà de Joomla! 3.2 pour continuer à appliquer les mises à jour de sécurité

vous avez deux options. La plus aisée est de demander à votre société d'hébergement de simplement déplacer votre site sur un de leurs serveurs récemment déployés qui tournent sous PHP 5.3.10 ou supérieur. Si cela ne fonctionnne pas ou si vous êtes inquiet à propos de leur maintenance et de leur service et que vous voulez plutôt les quitter, vous avez tout le temps de transférer votre site vers un des nombreux services d'hébergement qui vous offrira des logiciels serveur plus à jour. Vous avez jusqu'en octobre 2014 pour trouver une solution, ainsi vous pourrez faire la mise à jour en 1-click vers la série 3.X LTS lorsqu'elle sera disponible.

Questions ou commentaires ? Rejoignez la discussion sur : http://forum.joomla.org/viewtopic.php?f=704&t=833872 (en anglais uniquement bien sûr).

Notez cet article:
0
Fatigué de changer l'ordre des articles sur la pag...
Créer des templates Joomla! avec le composant Temp...

Commentaires

 
Pas encore de commentaire
Déjà inscrit ? Connectez-vous ici
Guest
lundi 23 septembre 2019
Si vous souhaitez vous inscrire, veuillez saisir un nom d'utilisateur, mot de passe et nom.

Image Captcha

Sur ce site, nous utilisons des cookies.