Sécurité des données

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécurité des données

    Bonjour,
    je voudrai faire un site avec des données ultra confidentielles, via un accès privé (login/mot de passe) pour chacun des clients concernés. Dans cet espace privé, ils verront des documents, photos, vidéos, qui leur sont propres.
    Peut-on être sur que ces données soient confidentielles et seulement lues par chaque login ? et si on cryptait en plus ? je sais bien que rien ne peut être sur à 100% mais qu'en pensez-vous ? avez-vous des pistes de recherche pour moi ? je précise que ces données sont 100% légales et de moralité tout à fait convenable (clients dans l'aviation). merci de vos conseils.

  • #2
    Re : Sécurité des données

    Bonjour

    Je répondrais que Oui, Joomla permet de différencier les niveaux d'accès et que certains composants comme Community Builder vont permettre à créer une interface où chaque client aura accès à son interface et n'aura pas accès aux données des autres.

    Dans l'absolu, oui, les données sont privatives. Dans la pratique, je dirais qu'il faudra que tu veilles à bien mettre les informations en type public / privée et à utiliser des composants fiables qui ne comportent pas de bugs / trous de sécurité. Utilise aussi des composants réputés et suivi par le développeur qui, si bug il y a, le résolvera rapidement.

    Comme tu l'as précisé, rien n'est sûr à 100%. Dans le cas où la sécurité de ton site serait faible (p.e. login admin password admin), la sécurité sera mise en défaut. L'accès à la base de données peut-être aussi si quelqu'un parvient à mettre la main sur les données de connexion.

    J'attire juste l'attention sur cette hypothèse; je ne dis pas que cela arrivera / que c'est facile à obtenir; juste attirer l'attention là-dessus si pour toi cette confidentialité est extrêment importante et pourrait générer paiement d'importantes sommes à tes clients au cas où...
    Christophe (cavo789)
    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Re : Sécurité des données

      Il y a des solutions éventuellement toutes simples comme des gestionnaires de téléchargement où les droits sont définis groupe par groupe ou individu par individu, avec protection du dossier des documents (inaccessible par URL), mais si tu veux plus que ça, il y a diverses possibilités, d'abord avec la gestion des groupes et droits d'accès de la version 2.5, ensuite avec des solutions plus lourdes, l'essentiel étant de coupler accès réservé par utilisateur et impossibilité d'accès direct par URL aux documents.
      Ensuite, sécurisation du site lui-même, voire choix d'un hébergement où tu ne partagerais pas l'IP d'autres hébergés (type VPS ou dédié si tu sais gérer un serveur).
      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

      Commentaire


      • #4
        Re : Sécurité des données

        Merci cavo789,
        Je comptais utiliser community Builder, est-il réputé dans ce sens ?
        Pour la BD, est-il bon de changer les mots de passe régulièrement ?
        Que veux-tu dire dans ton dernier parag ?

        Merci RobertG,
        J'ai contacté OVH en leur demandant leur avis mutualisé/dédié, voici leur réponse :
        "Nous garantissons la confidentialité de vos données sur un serveur mutualisé, en ce qui concerne les actions contre les actes de piratages, celui ci est laissé a vos soins, le guide ci-dessous vous explique comment vous protéger contre les pirates:
        http://forum.ovh.com/showthread.php?...amp;amp;page=3 Aussi merci de consulter les conditions particulières liées à nos offres mutualisées: http://www.ovh.com/fr/support/docume...0mutualise.pdf Sur un serveur dédié, la sécurité est laissé à votre choix, vous définissez vos propres règles: http://www.ovh.com/fr/support/docume...ur%20dedie.pdf Sur le mutualisé, il est possible de faire évoluer l'espace en changeant d'offre par basculement comme expliqué dans le guide ci-dessous: http://guides.ovh.com/BasculerMonOffre Par contre c'est seulement à partir du serveur dédié HG 2011 BestOF Reloaded qu'il est possible de faire évoluer le matériel installé."
        Sinon, que conseilles-tu comme gestionnaire de téléchargement ?
        Que conseilles-tu une formule dédiée chez OVH ?

        merci à vous 2

        Commentaire


        • #5
          Re : Sécurité des données

          Envoyé par catherine63 Voir le message
          Que veux-tu dire dans ton dernier parag ?
          Je partais sur une hypothèse : tu vends une solution internet à des clients professionnels en vantant la qualité de la sécurité des données et ... boum patatras, il est averé qu'un pirate informatique aurait eu accès à l’entièreté de ton site et aurait collecté des données confidentielles. Dans cette hypothèse, je me disais qu'un client qui t'aurait fait confiance pourrait réclamer des dommages et intérêts. Juste une supposition donc

          Changer le mot de passe de la db; non, je ne pense pas qu'il faille aller jusque là. Utiliser des mots de passe Joomla de 20 caractères pour tes comptes admin; oui, là, c'est simple à mettre en oeuvre et offre une excellente sécurité. Perso, j'utilise le bookmarklet SuperGenPassword avec un paramètrage pour obtenir des mots de passe de 20 caractères.
          Christophe (cavo789)
          Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            Re : Sécurité des données

            Nous garantissons la confidentialité de vos données sur un serveur mutualisé, en ce qui concerne les actions contre les actes de piratages, celui ci est laissé a vos soins
            Pour avoir vu des sites piratés en mutualisé par des individus entrés, pour effectuer leur piratage, dans d'autres sites que ceux piratés mais physiquement présents sur le même serveur (en mutualisé, on a parfois des milliers de sites sur la même IP), je ne suis pas sûr, même si ça ne veut pas dire que les pirates ont pu accéder aux données, qu'héberger un site nécessitant une forte confidentialité sur un serveur mutualisé est une bonne chose.
            La sécurisation est plus grande sur des VPS ou des équivalents (j'ai certains de mes sites chez PHPNET en compte Premium, qui est du mutualisé sans l'être vraiment puisque chaque compte a son propre serveur : du VPS infogéré en quelque sorte) ou sur des serveurs dédiés, puisque, sauf erreur de ma part, sur ces serveurs même virtuels, il n'y a pas possibilité de passer de l'espace d'un hébergé à celui d'un autre.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

            Commentaire

            Annonce

            Réduire
            1 sur 2 < >

            C'est [Réglé] et on n'en parle plus ?

            A quoi ça sert ?
            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
            Comment ajouter la mention [Réglé] à votre discussion ?
            1 - Aller sur votre discussion et éditer votre premier message :


            2 - Cliquer sur la liste déroulante Préfixe.

            3 - Choisir le préfixe [Réglé].


            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

            2 sur 2 < >

            Assistance au forum - Outil de publication d'infos de votre site

            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

            UTILISER À VOS PROPRES RISQUES :
            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

            Problèmes connus :
            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

            Installation :

            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

            Archive zip : https://github.com/AFUJ/FPA/zipball/master

            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
            et remplacer www. votresite .com par votre nom de domaine


            Exemples:
            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/
            Pour executer le script: http://www..com/fpa-fr.php

            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/cms/
            Pour executer le script: http://www..com/cms/fpa-fr.php

            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
            Voir plus
            Voir moins
            Travaille ...
            X