Quem já programou em PHP, provavelmente conhece a função phpinfo(), que exibe uma página com as configurações do PHP. Porém, parece que nem todo mundo percebe que deixar essa informação disponível sem qualquer tipo de segurança, pode ser um facilitador para possíveis ataques ao seu servidor.

Um cara chamado Damien Seguy, encontrou diversos “phpinfos” no Google/Yahoo, e viu a oportunidade de criar uma estatística sobre configurações do PHP, como por exemplo, quantos servidores ainda habilitam register_globals e safe_mode ou, ainda, quais os sistemas operacionais e servidores web mais utilizados com PHP. Você ainda pode contribuir com a pesquisa enviando a sua configuração, em nome da pesquisa, claro (sem ironia).

Como dito pelo próprio Damien, óbviamente nenhum site de grande porte teve seu phpinfo() capturado, o que me faz pensar em até que ponto essas informações são de fato úteis no primeiro momento, pois não acredito que, assim como os grandes portais, desenvolvedores mais experientes, (e provavelmente os que nos interessaria observar suas políticas de configuração/segurança), tenham tido suas configurações capturadas pela pesquisa nos mecanismos de busca.

Pra terminar, veja se o seu phpinfo não está no Google, procure por: phpinfo site:seusite.com.

Compartilhe!

If you're new here, you may want to subscribe to my RSS feed. Thanks for visiting!


This entry was posted on Saturday, November 4th, 2006 at 2:12 pm and is filed under PHP, desenvolvimento, segurança. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.