Archives de la liste a​i​d​e​@p​a​h​e​k​o​.c​l​o​u​d​

RGPD

centrO (Association Choeur des Centraux)

17/10/2017 05:43:58

Bonjour,

Je viens de lire cet article de vulgarisation sur le RGPD :

https://www.lesechos.fr/idees-debats/cercle/cercle-147684-la-gdpr-au-dela-des-obligations-une-opportunite-pour-les-entreprises-1196000.php

La non-collecte de données non indispensables est du ressort des 
associations utilisatrices, mais peut-on considérer que Garradin - une 
fois les mots de passe correctement positionnés bien sur - est 
suffisamment résistant aux attaques pour "passer" le RGPD ?

Bien cordialement.

Jean-Pierre.

Re: RGPD

BohwaZ/Garradin

17/10/2017 05:57:57

Le 17/10/2017 16:43, centrO (Association Choeur des Centraux) a écrit :
> Bonjour,
> 
> Je viens de lire cet article de vulgarisation sur le RGPD :
> 
>
https://www.lesechos.fr/idees-debats/cercle/cercle-147684-la-gdpr-au-dela-des-obligations-une-opportunite-pour-les-entreprises-1196000.php
> 
> La non-collecte de données non indispensables est du ressort des
> associations utilisatrices, mais peut-on considérer que Garradin - une
> fois les mots de passe correctement positionnés bien sur - est
> suffisamment résistant aux attaques pour "passer" le RGPD ?

Je te laisse regarder la liste des changements niveau sécurité de la 0.8 
: http://dev.kd2.org/garradin/Roadmap

Garradin est à ce jour le plus sécurisé des logiciels de gestion d'asso 
en ligne (oui ça coûte rien de le clamer hé hé, mais je le crois 
sincèrement aussi).

Mais comme tout logiciel, toutes ces mesures de sécurité ne servent à 
rien s'il est installé et configuré n'importe comment.

Par exemple : ne pas utiliser de sous-domaine dédié et positionné sur le 
répertoire www/ et permettre à n'importe qui de télécharger ton fichier 
association.sqlite va permettre à n'importe qui de télécharger toutes 
tes données…

Re: RGPD

Free

17/10/2017 11:05:11

D’accord, mais comme mon hébergeur n’offre pas la possibilité d’avoir un vhost,
j’ai dû suivre les conseils de garradin pour faire sans (utilisation du fichier
.htaccess).
Je ne sais pas si la sécurité est suffisante.

Par exemple : ne pas utiliser de sous-domaine dédié et positionné sur le répertoire
www/ et permettre à n'importe qui de télécharger ton fichier association.sqlite va
permettre à n'importe qui de télécharger toutes tes données…

Re: RGPD

BohwaZ/Garradin

18/10/2017 01:02:56

Le 17/10/2017 22:04, Free a écrit :
> D’accord, mais comme mon hébergeur n’offre pas la possibilité
> d’avoir un vhost, j’ai dû suivre les conseils de garradin pour
> faire sans (utilisation du fichier .htaccess).
> Je ne sais pas si la sécurité est suffisante.

Il suffit de vérifier :)

Va sur l'adresse du site de ton asso, genre http://monasso.org/garradin/

et rajoute "association.sqlite" à la fin de l'adresse :

http://monasso.org/garradin/association.sqlite

Si tu peux télécharger le fichier c'est que c'est pas bon. Si tu as une 
erreur comme quoi l'accès est interdit c'est bon :)

Je recommande d'essayer aussi d'accéder aux sauvegardes pour être sûr, 
par exemple dans mon cas on a plusieurs fichiers de sauvegarde, voici 
l'un d'eux :

http://monasso.org/garradin/association.2017-08-09-151513.avant_restauration.sqlite

Comme avant si tu peux télécharger le fichier c'est que son accès n'est 
pas bloqué et qu'il faut donc que tu le bloque correctement avec le 
.htaccess.

Garradin tente de restreindre l'accès à ces fichiers dans le .htaccess 
mais ça peut ne pas marcher si :

- tu n'utilise pas Apache
- la configuration Apache ne permet pas de restreindre l'accès
- la configuration n'est pas standard et les chemins ne correspondent 
pas et du coup le blocage ne marche pas

Il existe pas mal de raisons que le blocage ne marche pas selon comment 
ton hébergeur fait les choses. C'est pour ça que je déconseille 
fortement de ne pas utiliser un sous-domaine dédié pour Garradin, car si 
tu ne sais pas configurer/vérifier que tes fichiers *.sqlite sont 
bloqués tu risque d'avoir qqun qui télécharge ta base de données. Mais 
je ne peux pas couvrir tous les cas particuliers des milliers 
d'hébergeurs du monde.

Re: RGPD

Free

18/10/2017 01:12:02

Le 18 oct. 2017 à 01:02, BohwaZ/Garradin <garradin@garradin.eu> a écrit :

Il suffit de vérifier :)
Va sur l'adresse du site de ton asso, genre http://monasso.org/garradin/
et rajoute "association.sqlite" à la fin de l'adresse :

******************
J’ai vérifié, ça marche puisque j’obtiens :
Forbidden
You don't have permission to access /garradin807/association.sqlite on this server.
Merci
******************