Ne pas faire de votre cas une généralité comme parler de fichier php ce qui est hors de propos.
Le but des protections n'est pas d'arrêter les attaques malheureusement mais de réduire la surface d'attaque d'un serveur/service//appli.
Et je ne le répéterais jamais assez, il faut patcher ses serveurs et mettre en place les MAJ régulièrement de tous les services.
Quant à Intel il est très mal barré BranchScope, PortSmash, Meltdown/Spectre, TLBleed et Foreshadow,
ZombieLoad 1 et 2, etc... puis Plundervolt pour la dernière faille en
date de ce mois-ci. Sans compter l'approvisionnement chez les différents fournisseurs des qui a laissé à désirer cette année et je ne vois pas d'amélioration là-dessus pour cet nouvelle année.
Le ven. 20 déc. 2019 à 19:53, Jonathan Leroy - Inikup via FRsAG <
frsag@frsag.org> a écrit :
Le ven. 20 déc. 2019 à 17:15, Maxime DERCHE <maxime@mouet-mouet.net> a écrit :
> Et en cas de problème, quand il faudra déclarer à la CNIL qu'il y a eu une fuite, et
> que lors de l'audit on découvre que tout n'a pas été mis en œuvre pour protéger les
> données personnelles, l'amende va piquer.
Sauf que, hors environnement mutualisé, une fois que l'attaquant est
entré dans le système c'est déjà trop tard.
Qu'il passe ensuite root ou non, il a déjà accès au code de
l'application et donc à la base de données (les infos de connexion à
celle-ci étant dans 99 % des cas stockés dans un fichier PHP).
--
Jonathan Leroy
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/