Informations sécurité

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search

Securite.png Alertes

Dernière mise à jour: 18/02/2020

Des possibles injections XSS mineures ont été détectées. Elles sont toutes corrigées dans la version 11.0.4 ou supérieure.

Téléchargeable sur le GitHub les versions intermédiaires non officielles de la branche version 9 et de la branche version 10

Art.png Fonctionnalités

Dolibarr intègre les mécanismes de sécurité suivant :

Chiffrement

  • Chiffrement des mots de passe utilisateurs en base [*7] [*8].
  • Chiffrement possible du mot de passe technique de la base de données dans le Fichier de configuration (conf.php) [*8].
  • Possibilité de forcer le mode HTTPS [*9].

Hacks et cracks

  • Support du mode register_globals on ou off (off sérieusement recommandé) [*2].
  • Support du mode safe_mode on ou off de PHP (on recommandé) [*3].
  • Option de production pour inhiber toute remontée d'information technique comme débogage, info d'erreurs, info de version (Voir le Fichier de configuration) [*6].
  • Système de protection anti injection SQL [2*].
  • Système de protection anti injection XSS (Cross Site Scripting) [*1].
  • Système de protection anti CSRF (Cross Site Request Forgery) [*5]

Notez qu'il reste préférable d'ajouter aussi la protection côté serveur Web en désactivant l'option Apache

AcceptPathInfo Off

Accès pages et fichiers

  • Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel [*4] [*10].
  • Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) [*3] [*10].
  • Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) [*3].

Protection login

  • Retardateur anti brute force cracking sur la page de login [*7].
  • Code graphique optionnel anti robot (CAPTCHA) sur la page de login [*7].
  • Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) [*7].
  • Système d'audit interne pour journaliser de manière permanente les évènements en rapport avec l'administration utilisateurs et les connexions en succès ou en échec.

Virus

  • Possibilité d'insérer un contrôle antivirus sur tout fichier téléversé (GNU/Linux uniquement) [*3].


Www.png Ouvrir l'accès à sa machine / son serveur local vers internet

Une installation chez un hébergeur (généraliste ou spécialisé dolibarr) donne accès à n'importe quelle machine reliée à internet, de manière sécurisée.

Si vous avez fait le choix d'installer dolibarr en local, sur votre machine : il est tout de même possible de partager dolibarr avec d'autres machines.

Deux cas sont à prendre en compte :

  • le partage local : seules les machines présentes physiquement sur le même réseau auront accès aux données par leur navigateur. Pour cela il suffit d'attribuer une IP fixe à la machine "serveur" et de paramétrer correctement les antivirus/firewall de cette machine. (ce forum ayant vocation à l'unique utilisation de dolibarr : il faudra vous documenter par vous même sur les paramétrages à mettre en place, ou demander de l'aide sur le forum). Les autres machines auront lors accès à dolibarr avec une adresses similaire à "http://192.168.1.148/xxxxx" où "xxxxxx" est potentiellement le sous répertoire dans le quel vous avez installé dolibarr)
  • le partage via internet : la procédure est identique au partage local, il vous faudra en plus :
    • paramétrer une redirection de port sur votre accès internet vers le "serveur". Cette ouverture de port n'est pas anodine d'un point de vue sécurité : formez vous correctement ou faites appel à un professionnel.
    • avoir une IP fixe de pour votre accès internet, ou une redirection DNS dynamique.

La solution idéale, restera de confier l'hébergement, la sécurité et les sauvegardes de votre dolibarr à un hébergeur professionnel...

Oui : cela à un coût... mais en regard du risque de "tout perdre", il est important de se poser la question !

NB : une installation locale avec des données existantes est très facilement migrable vers ce type d'hébergement.



(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.