Alertes

Dernière mise à jour: 31/8/2009

Pas de bugs ou d'alertes de sécurité reportées en ce moment.

Fonctionnalités

Dolibarr intègre les mécanismes de sécurité suivant :

Cryptage

Cryptage des mots de passe utilisateurs en base ^[*7] ^[*8].
Cryptage possible du mot de passe technique de la base de donnée dans le Fichier de configuration (conf.php) ^[*8].
Possibilité de forcer le mode HTTPS ^[*9].

Hacks et cracks

Support du mode register_globals on ou off (off serieusement recommandé) ^[*2].
Support du mode safe_mode on ou off de PHP (on recommandé) ^[*3].
Option de production pour inhiber toute remontée d'information technique comme débuggage, info d'erreurs, info de version (Voir le Fichier de configuration) ^[*6].
Système de protection anti injection SQL ^[2*].
Système de protection anti injection XSS (Cross Site Scripting) ^[*1].
Système de protection anti CSRF (Cross Site Request Forgery) ^[*5].

Accès pages et fichiers

Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel ^[*4] ^[*10].
Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) ^[*3] ^[*10].
Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) ^[*3].

Protection login

Retardateur anti brute force cracking sur la page de login ^[*7].
Code graphique optionnel anti robot (CAPTCHA) sur la page de login ^[*7].
Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) ^[*7].
Système d'audit interne pour logguer de manière permanente les évènements en rapport avec l'administration utilisateurs et les logins en succès ou en échec.

Virus

Possibilité d'insérer un contrôle antivirus sur tout fichier uploadé (linux uniquement) ^[*3].

^(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.