Informations sécurité

De Dolibarr Open Source ERP CRM Wiki.

Securite.png Alertes

Dernière mise à jour: 31/10/2018

Des possibilités d'injection XSS ont été remontée et sont corrigées dans la version 8.0.2

Art.png Fonctionnalités

Dolibarr intègre les mécanismes de sécurité suivant :

Cryptage

  • Cryptage des mots de passe utilisateurs en base [*7] [*8].
  • Cryptage possible du mot de passe technique de la base de donnée dans le Fichier de configuration (conf.php) [*8].
  • Possibilité de forcer le mode HTTPS [*9].

Hacks et cracks

  • Support du mode register_globals on ou off (off serieusement recommandé) [*2].
  • Support du mode safe_mode on ou off de PHP (on recommandé) [*3].
  • Option de production pour inhiber toute remontée d'information technique comme débuggage, info d'erreurs, info de version (Voir le Fichier de configuration) [*6].
  • Système de protection anti injection SQL [2*].
  • Système de protection anti injection XSS (Cross Site Scripting) [*1].

Noter qu'il reste préférable d'ajouter la protection côté du serveur Web en désactivant l'option Apache

AcceptPathInfo Off
  • Système de protection anti CSRF (Cross Site Request Forgery) [*5].

Accès pages et fichiers

  • Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel [*4] [*10].
  • Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) [*3] [*10].
  • Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) [*3].

Protection login

  • Retardateur anti brute force cracking sur la page de login [*7].
  • Code graphique optionnel anti robot (CAPTCHA) sur la page de login [*7].
  • Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) [*7].
  • Système d'audit interne pour logguer de manière permanente les évènements en rapport avec l'administration utilisateurs et les logins en succès ou en échec.

Virus

  • Possibilité d'insérer un contrôle antivirus sur tout fichier uploadé (linux uniquement) [*3].



(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.

Outils personnels
  • Ask to contact@dolibarr.org to request an account to contribute to this documentation
  • Connexion
Autres langues
AnglaisEspagnolAllemand
Pas de traduction en Allemand.
Italien
Pas de traduction en Italien.
Grèque
Pas de traduction en Grèque.
<multilanguagemanager_cn>
Pas de traduction en &lt;multilanguagemanager_cn&gt;.

Social networks
Follow us on Google+ Follow us on Facebook Follow us on LinkedIn Follow us on Twitter