Discussion :

[jinpol]

Bonsoir,

Plone permet de créer facilement des sites internet, et il permet aussi de créer des zones membres accessibles uniquement via un login et un mot de passe.

Cependant, je me pose une question, n'étant pas un pro de la sécurité. Est-ce que ceci est sécurisé, étant donné que ce n'est pas du SSL ?

Merci d'avance pour votre aide.

Tchuss, jinpol...

[toutpt]

Bonsoir,

En tant que professionnel Plone, je l'utilise dans beaucoup de site dont des intranet. Plone est très réputé pour sa sécurité.

Plone est entre autre utilisé par le FBI:
http://plone.org/support/sites/feder...-investigation

Voici d'autres site de gouvernement
http://plone.org/support/sites/sites...ist=Government

Nous avons dans nos références des intranets d'aéroports.

En revanche HTTPS est nécessaire si tu souhaites éviter les attaques basées sur les écoutes réseaux en effet. N'hésite pas utiliser l'IRC #plone-fr sur freenode ou encore la mailing list "plone-fr" <plone-fr@lists.plone.org>

[wiztricks]

Salut,

Cependant, je me pose une question, n'étant pas un pro de la sécurité. Est-ce que ceci est sécurisé, étant donné que ce n'est pas du SSL ?

SSL et HTTPS sont des options à mettre en route côté serveur HTTP.
Plone comme n'importe quelle application Web doit permettre d'utiliser celui de votre choix (Apache, NGINX,...).

=> La sécurité est un sujet "compliqué".

Plone assure un minimum de choses, doit certainement en omettre d'autres
Un audit de sécurité un peu sérieux trouvera toujours des faiblesses... la question sera de savoir si le risque encouru est suffisamment "faible".

De plus, si vous développez, déployez une application Plone, vous pourrez introduire aussi des trous de sécurité par mauvaise compréhension de la doc, des bonnes pratiques,...
note: que des agences gouvernementales arrivent à un niveau de sécurité (lequel) satisfaisant ne donne aucune indication sur les pré-requis côté moyens/formation juste une indication de la notoriété.

- W
PS: Une des raisons des trous de sécurité dans Windows est le manque de formation des développeurs et des administrateurs systèmes. Mais d'un autre côté, si vous voulez que l'environnement soit facile à utiliser, c'est bien pour ne pas avoir à trop former développeur et administrateurs systèmes...

[jinpol]

Merci à tous les deux pour vos réponses.

Cependant, la difficulté est justement de paramétrer Apache afin de pouvoir utiliser HTTPS sur plusieurs sites d'un même serveur.

J'ai cherché, testé pas mal de chose, mais je n'arrive pas à le mettre en place. Est-ce que qq'un a déjà fait cela ? Et si oui, comment ?

Merci d'avance pour votre aide.

Tchuss, jinpol...

[wiztricks]

Salut,

Cependant, la difficulté est justement de paramétrer Apache afin de pouvoir utiliser HTTPS sur plusieurs sites d'un même serveur

La configuration d'Apache est un vrai sujet.
Le forum Apache est peut être plus indiqué côté tutos ou expertises pouvant vous aider.

Cordialement,
- W