Overview

Artifact ID: cdd8d2528bccc5beda6c6d94ab1ffd8b337e2c41
Page Name:FAQ
Date: 2017-01-25 22:58:27
Original User: bohwaz
Parent: fc9600bd9b3729ee0494822c5c9bd0462d5e1fac (diff)
Next d025a61c90b9b3133e40167d25eec1aad81da97c
Content

Je n'arrive pas à ajouter deux adhérents avec la même adresse e-mail.

Par défaut l'adresse e-mail est l'identifiant de connexion à Garradin. Cet identifiant doit être unique, sinon impossible de savoir si c'est Pierrette ou Paulette qui veut se connecter. Si vous voulez ajouter plusieurs adhérents avec la même adresse e-mail il faut soit choisir un autre champ comme identifiant de connexion (par exemple le champ numéro de membre), c'est dans la page configuration. Sinon il est aussi possible de créer un autre champ adresse e-mail qui ne serve pas pour la connexion, c'est dans la page Configuration, onglet "Fiches des membres".

A quoi servent les extensions et où peut-on les trouver?

Ca peut servir à tout et n'importe quoi. Genre paiement d'adhésion par CB, agenda collectif, etc. Il faut les développer, ou me demander un devis pour en faire une. Il y en a une dans le site de démonstration

Existe-t-il d'autres skin/thèmes/template et où peut-on les trouver?

Nous n'en avons pas développé nativement. Tout utilisateur est libre de développer le sien ou me demander un devis pour en faire un.

Comment configurer X-SendFile avec Apache ?

Garradin peut utiliser l'extension Apache X-SendFile pour permettre de télécharger les fichiers plus rapidement en prenant moins de ressources sur le serveur. Pour cela il faut ajouter ceci dans le fichier config.local.php:

define('Garradin\ENABLE_XSENDFILE', true);

Ensuite installez et activez le module apache (ici la commande pour Debian/Ubuntu) :

sudo apt-get install libapache2-mod-xsendfile
sudo a2enmod xsendfile

Et dans votre configuration Apache ajouter une section pour activer X-SendFile sur votre instance Garradin (attention ne marche pas dans un fichier .htaccess, il faut obligatoirement modifier la configuration serveur du vhost) :

<Directory /path/to/garradin/www>
	XSendFile On
	XSendFilePath /path/to/garradin
</Directory>

Le répertoire pointé par XSendFilePath doit obligatoirement être le répertoire parent de Garradin.

Rechargez la configuration Apache (sudo service apache2 reload) et faites un essai en téléchargeant un fichier dans Garradin plusieurs fois : si vous obtenez un fichier de 0 octets c'est que X-SendFile n'est pas activé correctement.

Pourquoi devoir utiliser un sous-domaine (virtualhost) pour Garradin, par exemple "gestion.monassociation.fr" ? Pourquoi est-ce qu'il n'est pas possible d'installer Garradin dans un sous-répertoire comme "monassociation.fr/gestion/" ?

Garradin stocke l'intégralité de ses données dans une base de données SQLite, enregistrée sur le disque dans le fichier "association.sqlite" qui est situé à la racine de l'installation de Garradin. Ce fichier contient l'intégralité de vos données : liste des membres (avec leurs coordonnées notamment), cotisations, comptabilité, etc.

De plus à la racine de Garradin sont également stockées des informations sensibles : cache, plugins, templates, version de Garradin, etc.

Tout cela est normalement protégé par des directives dans le fichier ".htaccess" à la racine de Garradin, mais si vous n'utilisez pas Apache (par exemple nginx ou lighttpd) ou n'avez pas activé le module "mod_alias" la protection ne fonctionnera pas et toutes ces données seront accessibles à tous.

Enfin, cela rajoute un sous-répertoire "/www/" disgracieux à l'adresse des pages.

Pour toutes ces raisons, il est préférable d'éviter de mettre Garradin dans un sous-répertoire et d'utiliser un sous-domaine, à moins de savoir ce que vous faites.

Mon fichier association.sqlite est tombé dans de mauvaises mains, qu'est-ce que je risque ?

Le risque principal est de voir vos données adhérents revendues ou utilisées pour du spam ou autres fraudes. Les mots de passe permettant de se connecter sont chiffrés et hashés, et il est impossible de les retrouver sans utiliser du bruteforce (essayer toutes les combinaisons possibles), mais pour être sûr il vaut mieux changer le mot de passe de tous les adhérents qui avaient le droit de se connecter.

Quelles sont les mesures de sécurité appliquées par Garradin ?

Garradin essaye de mettre en place une politique de sécurité avancée, garantissant une forte protection des données mais aussi une grande résistance aux attaques.

Au niveau de la connexion des membres :

  • Stockage chiffré/hashé du mot de passe (avec bcrypt)
  • Incitation forte à utiliser des mots de passe longs et impossibles à deviner
  • Facultatif : connexion avec deux facteurs (2FA) via code à usage unique (TOTP, compatible Google Authenticator)

Au niveau du code :

  • Forte emphase sur la qualité du code et la sécurité au niveau du développement
  • Mises à jour de sécurité automatiques
  • Vérification systématique des fichiers stockés
  • Aucune exécution possible des fichiers stockés
  • Séparation claire des fichiers accessibles publiquement (dans le répertoire www/) des fichiers qui doivent être protégés de l'accès public, limitant le risque d'exposition d'informations sensibles