Forge Forge/ Cultivons !  by Franck Hisbergue
  Connexion  -  Fr / En
CLosed
Ticket [3] : [Bug] Stockage du mot de passe en Base 64 by xulops-cultivons@zapoyok.info - 2022-10-05 09:25:09
[8] xulops-cultivons@zapoyok.info - 2022-10-05 09:25:09
Les mots de passe des utilisateurs sont stockés en base64.

En 2022 cela pose un certain nombre de problèmes/questions :

- Non respect du RGPD(1) : tu as l'obligation légale (et j'ajouterai morale) de protéger les données privées de tes utilisateurs.
- très grande sensibilité à une fuite de la BDD; Les mots de passe sont en clair.


Tu peux t'inspirer de cette page pour renforcer ce stockage par l'utilisation de fonction cryptographique non réversible.

https://www.php.net/manual/en/function.password-hash.php

Jérôme


(1) https://www.cnil.fr/fr/mot-de-passe
https://www.clubic.com/pro/legislation-loi-internet/donnees-personnelles/actualite-786386-optical-center-condamne-50-000-amende.html

[9] Franck Hisbergue - 2022-10-05 11:25:49
Merci de ce retour. En effet, les mots de passe sont stockés en base64.

Je ne suis pas du tout expert en RGPD, je ne suis pas certain qu'elle s'applique à un intranet. Le but de ce logiciel n'est pas d'être mis en ligne sur internet, même si c'est possible.

Dans tous les cas, un passage en crypto sera fait pour un prochaine version.
[10] xulops-cultivons@zapoyok.info - 2022-10-05 12:02:38
Pas de soucis.

Pour le champ d'application : pour tout ! Dès que tu as des utilisateurs et que tu es sur le territoire européen ou avec des ressortissants européens.

https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-qui-sapplique-t-il

En l'état "Cultivons !" n'est pas utilisable en Europe ou avec des ressortissants européens.

Les personnes qui installeront ton application se doivent de respecter cela et aujourd'hui se mettront en tort dès qu'ils auront un utilisateur.

Si tu veux le distribuer change cela au plus tôt.

Jérôme.

PS: je te l'accorde qu'en cas de fin des temps c'est pas le plus gros soucis ;-)
[12] xulops-cultivons@zapoyok.info - 2022-10-05 12:26:12
PS : ne pas stocker non plus le mot de passe dans un cookie ou session !
[20] Franck Hisbergue - 2022-10-05 17:38:25
C'est corrigé sur la version 1.1 (sauf pour les sessions/cookies, faut que je regarde ça).
[22] Franck Hisbergue - 2022-10-06 01:35:11
Les sessions et cookies stockent désormais le hash à la place du mot de passe en base64. C'est d'ailleurs mieux aussi niveau performances parce que le password_verify est potentiellement assez lent.
Je cloture le ticket, un autre peut être ouvert sur le sujet si besoin.