La parole est aux speakers : Alexandre Daubois

Publié le

Jusqu’au Forum PHP 2024, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

Les conférences

Créer sa Malware Sandbox en PHP

La sécurité est, plus que jamais, au centre de toutes les problématiques en informatique. Peu importe si on parle de web, d’app mobiles ou de logiciels pour ordinateur, la sécurité revient sans cesse au centre de la table.

Mais allons droit au but : qui effectue des vérifications poussées et avancées sur les fichiers reçues dans son application PHP ? On ne parle pas d’une « simple » vérification de MIME Type bien sûr. Êtes-vous protégés d’un code malicieux, d’injections de commandes ou encore des terrible « tarbombs » qui feront les heures sombres de vos systèmes de fichier ? Êtes-vous familier avec les magic bytes ?

Sans aller jusqu’à créer un véritable antivirus, beaucoup de choses peuvent être faites PHP (mais pas que !) pour isoler les potentiels malware, les analyser et traiter les fichiers en toute sécurité en créant sa propre Malware Sandbox. Bienvenue dans la cybersécurité !

Ballroom Hopper / HJK
10/10/2024
10:00-10:40
Covariance, Contravariance et Diamant

Derrière ce titre et ces mots avec beaucoup de syllabes se trouvent de la théorie de la programmation objet. On est d’accord, ça peut paraître barbant à première vue. Hors, quand vous comprenez ces outils, vous comprenez les comportements de PHP. Et de tous les langages de programmation orientés objet !

Pourquoi est-il possible d’étendre le type d’argument d’une méthode d’une classe fille, mais qu’il est interdit d’étendre son type de retour ? Est-ce juste pour le plaisir ou la théorie objet rend-elle ceci impossible ? Petit indice : Barbara Liskov, informaticienne émérite, y est pour quelque chose.

On se donne rendez-vous pour vous rendre imbattable lundi à la machine à café sur les histoires d’héritage, de problème du diamant, de covariance et de contravariance !

Ballroom Lamarr / G
11/10/2024
14:45-15:25

Pourquoi as-tu créé ta propre Malware Sandbox en PHP et quels ont été les plus grands défis que tu as rencontrés lors de ce projet ?

En fait, ça s’est fait suite à un pentest sur un projet sur lequel je travaillais (j’expliquerai un peu plus en détail de quoi il s’agit dans mon talk). Et le constat était clair : les vérifications faites sur les fichiers uploadés pour les utilisateurs et utilisatrices n’étaient pas vérifiées, ou pas assez. Il a fallu trouver une solution, et ce assez rapidement. Les plus grands défis étaient surtout de savoir jusqu’où aller, mais aussi de savoir si les vérifications effectuées avaient un réel intérêt et si elles protégeaient vraiment de quelque chose !

Pour toi, quels sont les oublis majeurs en termes de sécurité les plus fréquemment présents ?

Je pense qu’on est dans une époque où beaucoup de sensibilisation est faite sur les failles comme l’injection SQL (même s’il arrive de tomber sur des sites encore vulnérables à ces attaques). Pour moi, les deux gros vecteurs d’attaque malheureusement encore présents sont la non-mise à jour des dépendances de l’application (notamment sur les projets au forfait), et la non-vérification des inputs utilisateurs. Pour le premier point, je ne pourrais malheureusement pas beaucoup vous aider… mais pour le deuxième, on devrait pouvoir faire quelque chose !

Tu as écrit un livre « Clean code in PHP ». Peux-tu nous parler de cette expérience ?

Début 2022, j’écrivais une série d’articles sur Symfony (environ 1 par semaine pendant plusieurs mois). Ça marchait très, très bien et le public était là. C’est à ce moment-là que Packt Publishing, une maison d’édition britannique, m’a contacté vis-à-vis de mes articles et me proposant de coécrire un livre sur le Clean Code en PHP. Le constat était le suivant : les juniors voient plein de ressources sur le code propre et tout ce qui gravite autour. Mais ce n’est jamais appliqué à son propre langage de programmation. Écrivons donc un livre sur le clean code, centré sur sa pratique en PHP. Je me suis occupé sur la partie « théorie appliquée à PHP », et le second auteur Carsten Windler, la partie plus pratico-pratique avec les différents outils présents dans l’écosystème PHP. La rédaction a pris environ 2 mois et demi il me semble. C’était très intense, je suis très content de l’avoir fait ! De là à me relancer dedans… on va attendre encore un peu.

Des conférences présentées par

Alexandre DAUBOIS
Alexandre DAUBOIS
Alexandre est Expert et Lead Développeur Symfony. Faisant partie des contributeurs les plus actifs du framework Symfony (autant sur le code que sur la documentation), il intervient à des événements internationaux tels que SymfonyLive, ForumPHP, PHPers Summit en Pologne ou encore la Dutch PHP Conference à Amsterdam. Parmi ses autres implications dans le monde du web, on peut citer sa contribution au code source de PHP, son intégration à Sensiolabs (l'entreprise qui a créé Symfony), ainsi que son premier livre, "Clean Code in PHP" en octobre 2022.

Autres intervenants