Sécurité
Un élément moins connu de la sécurité est le monitoring qui permet de surveiller 24h/24 des anomalies sur votre site web , on peut surveiller des URLS , voir si du matériel est indisponible , etc ... , voir : http://www.netvigie.com/
Un IDS ( Intrusion Detection System ) permet de protéger son ordinateur contre d'éventuels paquets malveillants , un IDS compare ces paquets avec sa base de donnée de paquets à risque et définit si celui qu'il reçoit est dangereux ou non , on peut citer un IDS : Tripwire , mais il en existe pleins d'autres , un IDS couplé à un firewall sera donc très efficace
Un autre outil pour se prémunir d'éventuelles attaques c'est l'honeypot , un honeypot permet de simuler des failles qui n'existent pas , il en existe beaucoup comme honeyd
Une solution qui permet de gagner en sécurité est le cryptage des fichiers php du serveur , à voir : http://www.zdnet.fr/builder/web_design/scripts/0,39021062,2125034,00.htm et http://www.phpindex.com/
Il est aussi important de se prémunir des failles web , en php , si vous possédez un forum essayez de changer les noms des répertoires contenants l'administration par exemple ( pour éviter les exploits ) , de protéger les espaces de modération et d'administration par un .htaccess , mais l'important est de toujours mettre à jour ses scripts !
Si vraiment vous etes fou de sécurité , vous pouvez vous inscrire à la mailing liste de bugtraq ( http://www.frsirt.com/mailing.php ) et utiliser un logiciel comme poptray qui fait sonner votre ordinateur à chaque fois que vous recevez un mail
Vous pouvez créer une page d'erreur 404 sur votre site , ceci évitera à vos utilisateurs de se retrouver par inadvertance devant la description de votre version d'apache
Bon là c'est à réserver si vous etes parano mais au lieu de prendre comme serveur Apache vous pouvez prendre ncftpd , il est réputé sans failles et est utilisé par la CIA et la NSA ...
Il existe aussi des techniques qui permettent de tromper l'OS fingerprinting ( il s'agit d'une pratique que le pirate utilise pour déterminer la nature du système d'exploitation ) , TCP optimizer peut le faire sous Windows , sous Linux , IP Personality permet de simuler différents OS
Il est aussi possible d'utiliser des scanners de vulnerabilites , ces scanners recherchent des failles au niveau d'un site ou d'un serveur , il en existe de multiples comme Nmap , Shadow Security Scanner , un logiciel nommé rpvs permet de trouver différentes failles au niveau de php
Les pirates utilisent des exploits ( programmes leurs permettants de pirater ) qu'ils trouvent sur différents sites , parmis ceux-ci on peut trouver www.securiteam.com , il est aussi bon de garder à l'oeil les forums où se rencontrent les pirates , le meilleur moyen d'en savoir le plus sur eux et leurs techniques est de les cotoyer quotidiennement ...
L'une des plus complète des bases de données de vulnérabilités est certainement celle de la national vulnerability database : http://nvd.nist.gov/ , qui est d'ailleurs plesbicitée par l'armée américaine
Pour sécuriser les données échangées entre un site web et un utilisateur , les sites web utilisent SSL ( secure socket layer ) qui crypte les données échangées , sa présence est indiquée par un cadenas et l'url se présente en https , pourtant il semble qu'un gouvernement ai pu cassé l'algorythme de chiffrement utilisé dans ssl , ce qui porte à croire qu'ils ne sont pas les seuls
Il arrive parfois que Google puisse indexer des éléments d'un site web qui ne sont pas destinés à etre connus du grand public ( fichiers de mots de passes , etc ... ) , certains sites en ont faits leur spécialité comme johnny hackstuff , google a meme prévu une page qui recense ses moteurs de recherche spécialisés ( il existe 5 moteurs différents qui permettent de rechercher dans des catégories de sites comme ceux de l'US government ) : special searches
Il existe des sociétés qui proposent des tests d'intrusion comme HSC et qui permettent de découvrir des vulnérabilités au niveau d'un site web
Les hackers s'entrainent sur des challenges afin de perfectionner leur niveau , voici un annuaire qui en recense une partie : http://www.hackergames.net/