Sécurité - TP formation Cakephp

BP601
CakePHP

Bonjour à tous !

Ayant suivi avec beaucoup d'attention et de plaisir la formation Cakephp proposée par Grafikart, j'ai décidé d'adapter quelques-unes des fonctionnalités évoquées dans l'un de mes projets professionnels.

Cependant bien que la qualité de codage proposée est vraiment impeccable, je me pose des questions sur le degré de sécurité de l'espace membres / admin. Est-il concevable d'intégrer un tel système sur un projet professionnel sans prendre des risques démesurés ?

Si ce n'était pas le cas, pourriez-vous me préconiser des pistes de réflexion afin de garantir une sécurité maximale pour protéger les données des utilisateurs et par dessus tout éviter l'accès à l'administration.

Bien que j'utilise cakephp depuis 2 ans, je suis toujours un "newbie" sur les questions de sécurité, surtout lorsque qu'il faut manipuler des données personnelles... alors si vous pouviez m'éclairer un petit peu, je vous en serai extrêmement reconnaissant.

Avec toute ma sympathie.

Ben

4 réponses

mildesign

ben bonjour tu peux vraiment changer les routes à partir du fichier route.php vous pouvez aussi au lieu de la route admin changer la en la donnant un autre nom par exemple "adminica" au autre chose comme ça
referez bien au config de cake

BP601
Auteur

Merci pour l'astuce. Je pense effectivement que laisser "admin" par défaut n'est pas un choix très judicieux.

Je continue d’approfondir la question. Mais je me demande si au final il n'est pas préférable de faire un espace administration totalement indépendant du site ( accessible depuis un sous domaine par exemple,) avec une table UserAdmin distincte. Après j'ai peur de tomber dans une sorte d'usine à gaz...

antho07

Bonjour

Si il s'agit de données à caractères personnelles, je ne sais pas si Grafikart en a déjà parlé mais en france, la loi informatique et libertés de 1978 s'applique, à ce titre une déclaration a la CNIL est nécessaire, du cryptage sur certaines choses également et diverses informations comme le pourquoi du stockage, la durée, le droit de rectification,le droit de suppression doivent être préciser aux utilisateurs.

Pas grand chose à voir avec le coté technique du sujet mais on n'en parle quasi jamais alors que la CNIL renforce ces actions et qu'un projet de loi de CNIL européenne était en discution (j'avoue ne pas avoir suivit le sujet pour savoir ou cela en est actuellement)

Bien cordialement

Antho

BP601
Auteur

Merci Antho pour cette information, car il est vrai que sur mon projet la détention d'informations personnelles impose une déclaration préalable au CNIL. Je suppose qu'ils testeront mon système de sécurité avant de donner leur accord, c'est pour cela que je souhaite d'or et déjà mettre en oeuvre le maximum de protections possible.

Si quelqu'un connait des astuces concernant les .htaccess, la protection de base de données ( http://www.cgsecurity.org/Articles/mysql.html )... etc, je suis preneur. Sinon je vais utiliser en plus le SecurityComponent pour sécuriser les formulaires ( http://book.cakephp.org/2.0/fr/core-libraries/components/security-component.html ).