Informations sécurité

= Alertes = Dernière mise à jour: //

Pas de bugs ou d'alertes de sécurité reportées en ce moment.

= Fonctionnalités = Dolibarr intègre les mécanismes de sécurité suivant :

Cryptage
 * Cryptage des mots de passe utilisateurs en base [*7] [*8].
 * Cryptage possible du mot de passe technique de la base de donnée dans le Fichier de configuration (conf.php) [*8].
 * Possibilité de forcer le mode HTTPS [*9].

Hacks et cracks Noter qu'il reste préférable d'ajouter la protection côté du serveur Web en désactivant l'option Apache
 * Support du mode register_globals on ou off (off serieusement recommandé) [*2].
 * Support du mode safe_mode on ou off de PHP (on recommandé) [*3].
 * Option de production pour inhiber toute remontée d'information technique comme débuggage, info d'erreurs, info de version (Voir le Fichier de configuration) [*6].
 * Système de protection anti injection SQL [2*].
 * Système de protection anti injection XSS (Cross Site Scripting) [*1].
 * Système de protection anti CSRF (Cross Site Request Forgery) [*5].

Accès pages et fichiers
 * Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel [*4] [*10].
 * Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) [*3] [*10].
 * Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) [*3].

Protection login
 * Retardateur anti brute force cracking sur la page de login [*7].
 * Code graphique optionnel anti robot (CAPTCHA) sur la page de login [*7].
 * Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) [*7].
 * Système d'audit interne pour logguer de manière permanente les évènements en rapport avec l'administration utilisateurs et les logins en succès ou en échec.

Virus
 * Possibilité d'insérer un contrôle antivirus sur tout fichier uploadé (linux uniquement) [*3].

(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.