Bonjour,
j'ai installé openconcerto en multiposte via un serveur linux pour la bdd postgres.
j'ai donc creé l'utilisateur openconcerto/openconcerto comme indiqué dans la doc.
Ma question est la suivante :
Pour améliorer la sécurité, peux on modifier le login/password utilisé pour se connecté a la base OpenConcerto ? En effet l'utilisation de connexion via l'utilisateur openconcerto/openconcerto rend l'accès a la base de donnée vraiment vulnérable.
Merci,
Guillaume
Securité d'acces a la BDD en multiposte
Bonjour
Merci pour ces retours qui me surprennent un peu. La sécurisation d'un ERP n'est pas a négliger vu les données sensibles qu'il contient en général. Tout utilisateur qui a accès un une machine contenant une base de donnée OC peut se connecter à cette base facilement. Bizarre de ne pas intégrer la possibilité de changer ce login/password.
Cdt
Merci pour ces retours qui me surprennent un peu. La sécurisation d'un ERP n'est pas a négliger vu les données sensibles qu'il contient en général. Tout utilisateur qui a accès un une machine contenant une base de donnée OC peut se connecter à cette base facilement. Bizarre de ne pas intégrer la possibilité de changer ce login/password.
Cdt
bonjour
cela peut se comprendre, c'est un logiciel comptabilité, on suppose donc :
- sécurisation bureau comptable (porte qu'on peut fermer à clé, clé dispo pour les seuls concernés)
- sécurisation ordi comptable (mot de passe connu des seuls intéressés)
- sécurisation logiciel comptable (sécurisation par mot de passe mais accès BD un peu trop simple car en dur dans fichier)
au final, lorsque le malveillant a accédé à la BD, il a déjà accédé à tout avant.
quand au fait que la comptable ai accès au identifiant BD, ben ça lui change pas sa vie.
lol désolé pour cette tirade limite inutile, neurones en surchauffe, refroidissement avec des comments lights...
NB : code source disponible, sécurisation 'maison' tout à fait possible + liste blanche postgresql + VPN + coffre-fort ?
cela peut se comprendre, c'est un logiciel comptabilité, on suppose donc :
- sécurisation bureau comptable (porte qu'on peut fermer à clé, clé dispo pour les seuls concernés)
- sécurisation ordi comptable (mot de passe connu des seuls intéressés)
- sécurisation logiciel comptable (sécurisation par mot de passe mais accès BD un peu trop simple car en dur dans fichier)
au final, lorsque le malveillant a accédé à la BD, il a déjà accédé à tout avant.
quand au fait que la comptable ai accès au identifiant BD, ben ça lui change pas sa vie.
lol désolé pour cette tirade limite inutile, neurones en surchauffe, refroidissement avec des comments lights...
NB : code source disponible, sécurisation 'maison' tout à fait possible + liste blanche postgresql + VPN + coffre-fort ?
Oui bien sur je suis d'accord avec tout cela. C'est juste que l'effort nécessaire pour rajouter cette fonctionnalité me semble minime (au pire un paramètre dans un fichier de conf) par rapport au gain en sécurité qui en découle.
Je rajouterai que cette faille rend caduc la gestion de droit dans le soft car il suffi d’être un peu aguerri pour à partir d'un profil avec peux de droit pouvoir accéder à toute la base. Je prend l’exemple du commercial qui ne devrait pas pouvoir acceder aux tables liées aux salaires par exemple.
Voila c'est tout ce que je voulais dire. Juste une critique positive !
Je rajouterai que cette faille rend caduc la gestion de droit dans le soft car il suffi d’être un peu aguerri pour à partir d'un profil avec peux de droit pouvoir accéder à toute la base. Je prend l’exemple du commercial qui ne devrait pas pouvoir acceder aux tables liées aux salaires par exemple.
Voila c'est tout ce que je voulais dire. Juste une critique positive !
pardon si cela a été mal perçu
je voulais juste souligner que à l'origine c un logiciel de compta qui s'est étoffé de plein de fonction qui le fait ressembler à un ERP.
et que du à ce que tu dis et à d'autres choses, on ne devrait pas l'utiliser comme un ERP en l'état.
du coup modification maison, où comme le doc, vpn.
En tout cas, pour un usage par des tiers non comptable (commercial, autres) il faut y apporter des modifications.
Et que tout le monde peut le faire car le code est ouvert.
voilou,
je voulais juste souligner que à l'origine c un logiciel de compta qui s'est étoffé de plein de fonction qui le fait ressembler à un ERP.
et que du à ce que tu dis et à d'autres choses, on ne devrait pas l'utiliser comme un ERP en l'état.
du coup modification maison, où comme le doc, vpn.
En tout cas, pour un usage par des tiers non comptable (commercial, autres) il faut y apporter des modifications.
Et que tout le monde peut le faire car le code est ouvert.
voilou,
OpenConcerto intègre la possibilité de sécurisé les flux à travers un tunnel SSL/TLS.grousseau a écrit : ↑mar. mai 29, 2018 11:04 amOui bien sur je suis d'accord avec tout cela. C'est juste que l'effort nécessaire pour rajouter cette fonctionnalité me semble minime (au pire un paramètre dans un fichier de conf) par rapport au gain en sécurité qui en découle.
Je rajouterai que cette faille rend caduc la gestion de droit dans le soft car il suffi d’être un peu aguerri pour à partir d'un profil avec peux de droit pouvoir accéder à toute la base. Je prend l’exemple du commercial qui ne devrait pas pouvoir acceder aux tables liées aux salaires par exemple.
Voila c'est tout ce que je voulais dire. Juste une critique positive !
D'une manière ou d'une autre, vous aurez toujours un paramétrage qui sera présent sur le poste.
Une autre solution est de sécurisé le poste (dossier personnel crypté par exemple) et d'isoler les flux réseau avec des VLANs.
Cordialement,
Bonjour Guillaume;
A quoi sert l'onglet recherche ds Config OC ---> Bases de données disponibles ??
PosgreSQL 9.3.25
Et pourquoi quand on test la connexion et que c'est OK --> mais cela ne veut toujours pas marcher ???
Pour le démarrage de OC !!!
Bon j'attends A+ GG
A quoi sert l'onglet recherche ds Config OC ---> Bases de données disponibles ??
PosgreSQL 9.3.25
Et pourquoi quand on test la connexion et que c'est OK --> mais cela ne veut toujours pas marcher ???
Pour le démarrage de OC !!!
Bon j'attends A+ GG