Commentaires sur : Adminer, un outil léger d’administration de base MySQL http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/ 24h dans une journée, et tant de choses à faire ! Sat, 01 May 2010 21:27:45 +0000 hourly 1 http://wordpress.org/?v=3.0 Par : FD http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-368 FD Sat, 27 Mar 2010 15:02:17 +0000 http://www.chosesafaire.fr/?p=17#comment-368 Et bien j'ai directement posé la question à l'auteur du pourquoi. L'appel en question permet de gérer la coloration syntaxique des commandes SQL. Ce genre de code est loin d'être simple à écrire, car cela fait appel à de l'analyse syntaxique. Admettons. Moi, ce qui me gêne le plus, c'est que du coup le serveur distant peut en connaitre pas mal sur votre base de données : le nom des tables etc.. et pour peu que vous fassiez un Grant il connait aussi les droits d'accès sur la table. Tout ce code est fait en Javascript, ce qui par principe ne permet pas d'intrusion d'une machine vers une autre. Reste la question des Logs, car bien sur il y a une trace de tous ces appels, avec l'IP de votre serveur SQL, en prime. Vous confiez facilement les clés de chez vous à des inconnus ?? Et bien j’ai directement posé la question à l’auteur du pourquoi.
L’appel en question permet de gérer la coloration syntaxique des commandes SQL.
Ce genre de code est loin d’être simple à écrire, car cela fait appel à de l’analyse syntaxique.
Admettons.
Moi, ce qui me gêne le plus, c’est que du coup le serveur distant peut en connaitre pas mal sur votre base de données : le nom des tables etc.. et pour peu que vous fassiez un Grant il connait aussi les droits d’accès sur la table.
Tout ce code est fait en Javascript, ce qui par principe ne permet pas d’intrusion d’une machine vers une autre.
Reste la question des Logs, car bien sur il y a une trace de tous ces appels, avec l’IP de votre serveur SQL, en prime.

Vous confiez facilement les clés de chez vous à des inconnus ??

]]> Par : Pierre Quillery http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-325 Pierre Quillery Fri, 05 Mar 2010 07:40:17 +0000 http://www.chosesafaire.fr/?p=17#comment-325 Ça peut éventuellement poser un problème de sécurité si l'auteur de la librairie décide délibérément d'inclure dans son code quelque chose qui va envoyer sur un serveur distant toutes les requêtes SQL qui sont tapées au clavier par exemple. Ou bien pire s'il se fait pirater son serveur et que le fichier est modifié à son insu. Je pense que c'est ça que voulait souligner FD en fait : le fait de ne pas avoir la main sur tous les fichiers utilisés dans son application peut être une sorte de talon d'Achille (dans le pire des cas, du moins). Dans le cas d'Adminer, dont l'approche se veut minimaliste, je pense que le choix a été fait de ne pas inclure Jush parce que son auteur est la même personne et qu'elle a jugé plus judicieux de continuer à faire évoluer son code indépendamment d'Adminer, plutôt que de le graver dans le marbre de cette librairie. Ça peut éventuellement poser un problème de sécurité si l’auteur de la librairie décide délibérément d’inclure dans son code quelque chose qui va envoyer sur un serveur distant toutes les requêtes SQL qui sont tapées au clavier par exemple. Ou bien pire s’il se fait pirater son serveur et que le fichier est modifié à son insu. Je pense que c’est ça que voulait souligner FD en fait : le fait de ne pas avoir la main sur tous les fichiers utilisés dans son application peut être une sorte de talon d’Achille (dans le pire des cas, du moins).

Dans le cas d’Adminer, dont l’approche se veut minimaliste, je pense que le choix a été fait de ne pas inclure Jush parce que son auteur est la même personne et qu’elle a jugé plus judicieux de continuer à faire évoluer son code indépendamment d’Adminer, plutôt que de le graver dans le marbre de cette librairie.

]]> Par : my name is b..., tin tin tin tin RIN tin tin http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-324 my name is b..., tin tin tin tin RIN tin tin Thu, 04 Mar 2010 20:50:30 +0000 http://www.chosesafaire.fr/?p=17#comment-324 Merci, au moins ça discute ici, c'est cool. En quoi ça pourrait poser un problème de sécurité, d'avoir un ou plusieurs liens externes? comme ceux de la librairie dont vous parlez? Merci, au moins ça discute ici, c’est cool. En quoi ça pourrait poser un problème de sécurité, d’avoir un ou plusieurs liens externes? comme ceux de la librairie dont vous parlez?

]]> Par : FD http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-253 FD Tue, 19 Jan 2010 23:49:40 +0000 http://www.chosesafaire.fr/?p=17#comment-253 et eSKUeL ? http://www.phptools4u.com/scripts/eskuel/ et eSKUeL ?
http://www.phptools4u.com/scripts/eskuel/

]]> Par : Pierre Quillery http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-231 Pierre Quillery Sat, 12 Dec 2009 21:03:27 +0000 http://www.chosesafaire.fr/?p=17#comment-231 @FD : Pour ce qui est de la manière que j'ai eu de réagir, <em>mea culpa</em>, j'ai parfois tendance à voir le mal partout ; ce qui m'a frappé dans ton précédent commentaire, c'est surtout l'absence de détails techniques précis par rapport à ce que tu reprochais au fonctionnement d'Adminer, et c'est ce qui explique ma réaction un peu épidermique. C'est effectivement vrai que chaque page d'Adminer fait un lien vers cette fameuse librairie, JUSH : il s'agit en fait d'une librairie permettant de faire de la coloration syntaxique notamment à partir des requêtes SQL, pour les rendre plus présentables et lisibles pour l'utilisateur. Cependant, les requêtes ne transitent jamais sur un autre serveur : la librairie Javascript analyse et colorie les mots-clés à la volée, il n'y a donc pas de problème de sécurité à ce niveau-là. On peut effectivement s'interroger sur les raisons qui ont poussé le concepteur d'Adminer de faire un lien sur son propre serveur pour charger la librairie. À mon avis, cela correspond surtout à une volonté de faciliter la vie aux utilisateurs d'Adminer, un peu comme Google propose de charger les principales librairies Javascript depuis ses propres serveurs pour éviter de consommer inutilement sa propre bande passante. Cela rend aussi le code plus facile à maintenir pour lui que s'il était directement incorporé dans le fichier PHP. @FD : Pour ce qui est de la manière que j’ai eu de réagir, mea culpa, j’ai parfois tendance à voir le mal partout ; ce qui m’a frappé dans ton précédent commentaire, c’est surtout l’absence de détails techniques précis par rapport à ce que tu reprochais au fonctionnement d’Adminer, et c’est ce qui explique ma réaction un peu épidermique.

C’est effectivement vrai que chaque page d’Adminer fait un lien vers cette fameuse librairie, JUSH : il s’agit en fait d’une librairie permettant de faire de la coloration syntaxique notamment à partir des requêtes SQL, pour les rendre plus présentables et lisibles pour l’utilisateur. Cependant, les requêtes ne transitent jamais sur un autre serveur : la librairie Javascript analyse et colorie les mots-clés à la volée, il n’y a donc pas de problème de sécurité à ce niveau-là.

On peut effectivement s’interroger sur les raisons qui ont poussé le concepteur d’Adminer de faire un lien sur son propre serveur pour charger la librairie. À mon avis, cela correspond surtout à une volonté de faciliter la vie aux utilisateurs d’Adminer, un peu comme Google propose de charger les principales librairies Javascript depuis ses propres serveurs pour éviter de consommer inutilement sa propre bande passante. Cela rend aussi le code plus facile à maintenir pour lui que s’il était directement incorporé dans le fichier PHP.

]]> Par : FD http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-230 FD Fri, 11 Dec 2009 18:56:15 +0000 http://www.chosesafaire.fr/?p=17#comment-230 Bon, j’y suis peut-être allé un peu fort, mais la question reste entière. Sous Firefox il ya deux extension pour vous éclairer : - Httpfox - FireBug Httpfox permet de tracer tous les appels HTTP faits lors du chargement d’une page. FireBug, tres connu des développeurs, permet le debuging sur le javascript d’une page HTML. En lançant n’importe quelle page HTML d’Adminer, chacune d’entres elle fera un appel externe sur le site « https://jush.svn.sourceforge.net/svnroot/jush/trunk/ ». Bon cene sont pas pour des pages PHP, mais pour des pages CSS et Javascript : jush.css et jush.js. Ce sont quand même des pages externes, faitescertes, sur un serveur sécurisé.. Quand j’ai regardé le contenu de la page Javascript actuelle(jush.js), on trouve un code relativement complexe. Cette page recense l’ensemble des variables de votre système ; franchement cela m’a bien énervé et poussé à écrire mon billet précédent. Par acquis de conscience je suis allé voir d’un peu plus prés et je pense que cette « attention » est nécessaire au bon fonctionnement d’Adminer, pour lui permettre d’exécuter correctement les multiples requêtes SQL pour l’utilisation des quottes, interprétées différemment suivant la configuration que vous utilisez. Bon bon bon, rien de grave alors ? Oui, mais ça me gene quand même, pourquoi ce code Javascrit n’est t’il pas tout simplement intégré comme le reste dans cette unique page PHP ??? Pourquoi après s’être tellement « cassé le cul » à tout caser dans une unique page PHP (même le Favicon est indiqué en Hexa) avoir oublié ces « Jush » ??? Pour ceux que cela intéresse, Jush est documenté par son auteur : Jakub Vrana (la même personne du projet Adminer) : http://jush.sourceforge.net/ http://jush.sourceforge.net/documentation.php ( pour les variables détectées par le script js). PS : j’avais laissé mon e-mail avec mon dernier post, j’aurai apprécié d’avoir été consulté avant de me faire traiter d’idiot ou de malveillant… ;) Et mon post est signé FD, et nonfrdr.... Bon, j’y suis peut-être allé un peu fort, mais la question reste entière.

Sous Firefox il ya deux extension pour vous éclairer :
- Httpfox
- FireBug

Httpfox permet de tracer tous les appels HTTP faits lors du chargement d’une page.
FireBug, tres connu des développeurs, permet le debuging sur le javascript d’une page HTML.

En lançant n’importe quelle page HTML d’Adminer, chacune d’entres elle fera un appel externe sur le site « https://jush.svn.sourceforge.net/svnroot/jush/trunk/ ».

Bon cene sont pas pour des pages PHP, mais pour des pages CSS et Javascript : jush.css et jush.js.

Ce sont quand même des pages externes, faitescertes, sur un serveur sécurisé..

Quand j’ai regardé le contenu de la page Javascript actuelle(jush.js), on trouve un code relativement complexe.
Cette page recense l’ensemble des variables de votre système ; franchement cela m’a bien énervé et poussé à écrire mon billet précédent.

Par acquis de conscience je suis allé voir d’un peu plus prés et je pense que cette « attention » est nécessaire au bon fonctionnement d’Adminer, pour lui permettre d’exécuter correctement les multiples requêtes SQL pour l’utilisation des quottes, interprétées différemment suivant la configuration que vous utilisez.

Bon bon bon, rien de grave alors ?
Oui, mais ça me gene quand même, pourquoi ce code Javascrit n’est t’il pas tout simplement intégré comme le reste dans cette unique page PHP ???

Pourquoi après s’être tellement « cassé le cul » à tout caser dans une unique page PHP (même le Favicon est indiqué en Hexa) avoir oublié ces « Jush » ???

Pour ceux que cela intéresse, Jush est documenté par son auteur : Jakub Vrana (la même personne du projet Adminer) :
http://jush.sourceforge.net/
http://jush.sourceforge.net/documentation.php ( pour les variables détectées par le script js).

PS : j’avais laissé mon e-mail avec mon dernier post, j’aurai apprécié d’avoir été consulté avant de me faire traiter d’idiot ou de malveillant… ;)

Et mon post est signé FD, et nonfrdr….

]]> Par : Pierre Quillery http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-229 Pierre Quillery Mon, 07 Dec 2009 14:09:49 +0000 http://www.chosesafaire.fr/?p=17#comment-229 J'ai longuement hésité avant de publier le commentaire précédent qui m'a vraiment troublé par son ton et ce qu'il sous-entend. Je suis fondamentalement contre la censure, aussi j'ai pris le parti de le publier malgré tout, accompagné de cette mise au point. Je ne partage absolument pas ton avis, frdr : soit tu es fort mal renseigné, soit carrément malveillant. Dans le doute, je préfère envisager la première éventualité ; toutefois, je ne comprends pas vraiment tes arguments techniques, et je ne vais pas donc chercher à les contredire. Cependant, je crois qu'il faut tout de même rétablir la vérité : Adminer est un projet moitié open source, moitié commercial dont les sources sont disponibles sur le site officiel. Si ses concepteurs étaient aussi malveillants que tu le laisses entendre, je suppose qu'ils préféreraient que personne ne regarde leur code source. D'autre part, j'en profite pour ajouter que le projet a été primé par Sourceforge dans la catégorie "meilleur nouveau projet". Tout ça pour dire que je continue d'avoir une confiance totale en ce logiciel et que cela n'enlève rien aux qualités de PhpMyAdmin, qui sont effectivement nombreuses. Je n'ai rien contre ce genre de débats s'ils servent à quelque chose et que cela reste bon enfant - mais écrire quelque chose comme tu viens de le faire, non, ce n'est tout simplement pas correct. J’ai longuement hésité avant de publier le commentaire précédent qui m’a vraiment troublé par son ton et ce qu’il sous-entend. Je suis fondamentalement contre la censure, aussi j’ai pris le parti de le publier malgré tout, accompagné de cette mise au point. Je ne partage absolument pas ton avis, frdr : soit tu es fort mal renseigné, soit carrément malveillant. Dans le doute, je préfère envisager la première éventualité ; toutefois, je ne comprends pas vraiment tes arguments techniques, et je ne vais pas donc chercher à les contredire.

Cependant, je crois qu’il faut tout de même rétablir la vérité : Adminer est un projet moitié open source, moitié commercial dont les sources sont disponibles sur le site officiel. Si ses concepteurs étaient aussi malveillants que tu le laisses entendre, je suppose qu’ils préféreraient que personne ne regarde leur code source. D’autre part, j’en profite pour ajouter que le projet a été primé par Sourceforge dans la catégorie « meilleur nouveau projet ».

Tout ça pour dire que je continue d’avoir une confiance totale en ce logiciel et que cela n’enlève rien aux qualités de PhpMyAdmin, qui sont effectivement nombreuses.
Je n’ai rien contre ce genre de débats s’ils servent à quelque chose et que cela reste bon enfant – mais écrire quelque chose comme tu viens de le faire, non, ce n’est tout simplement pas correct.

]]> Par : FD http://www.chosesafaire.fr/2009/09/adminer-un-outil-leger-dadministration-de-base-mysql/comment-page-1/#comment-227 FD Sun, 06 Dec 2009 18:35:19 +0000 http://www.chosesafaire.fr/?p=17#comment-227 Attention à l'intallation d'Adminer ! J'étais comme vous, Adminer avait l'air bien sympa, à première vue, puis je me suis rendu compte que le fichier unique en PHP à mettre sur mon seurveur... appellait en faite toutes toutes ses fonctions PHP depuis le serveur d'adminer.... Pas trop cool, ses pages PHP hébergée "en dehors de chez moi" font tout de même des accés sur ma base MySQL, avec mes codes d'acces ! Point de vue sécurité soit c'est une énorme bétise de conception de leur part, soit ce sont des hackeurs, tout simplement... PhpMyAdmin n'est pas si mal, dans ses dernières versions ;) Le problème c'est qu'on trouve trop souvent de vieilles version installées, alors que la communauté libre derrière PhpMyAdmin est loin de dormir sur ses lauriers... PhpMyAdmin permet aussi d’afficher le schéma de la base (Database designer) Il y a aussi une douzaine de thèmes proposés sur leur site, libre à vous d'en créer d'autres... http://www.phpmyadmin.net Attention à l’intallation d’Adminer !

J’étais comme vous, Adminer avait l’air bien sympa, à première vue, puis je me suis rendu compte que le fichier unique en PHP à mettre sur mon seurveur… appellait en faite toutes toutes ses fonctions PHP depuis le serveur d’adminer….

Pas trop cool, ses pages PHP hébergée « en dehors de chez moi » font tout de même des accés sur ma base MySQL, avec mes codes d’acces !

Point de vue sécurité soit c’est une énorme bétise de conception de leur part, soit ce sont des hackeurs, tout simplement…

PhpMyAdmin n’est pas si mal, dans ses dernières versions ;)

Le problème c’est qu’on trouve trop souvent de vieilles version installées, alors que la communauté libre derrière PhpMyAdmin est loin de dormir sur ses lauriers…

PhpMyAdmin permet aussi d’afficher le schéma de la base (Database designer)

Il y a aussi une douzaine de thèmes proposés sur leur site, libre à vous d’en créer d’autres…

http://www.phpmyadmin.net

]]>