Discussion :

[boteha]

Bonjour,

Sur un site de e-commerce, j'ai besoin d'accéder aux comptes des clients, souvent à leur demande pour par exmple modifier un devis.

Les mots de passe étant cryptés, je me demande quelle est la façon la plus sécurisée de procéder.

Employer un mot de passe passe-partout me semble assez peu sécurisé mais je ne vois pas comment faire autrement.

password='mot_de_passe_client' OR password='mot_de_passe_administrateur'

Je précise que les numéros de CB ne sont pas connus du site, bref que le compte ne comporte rien de strictement confidentiel, seulement des commandes et des factures.

[Neckara]

Bonjour,

Plutôt que de donner à un administrateur l'accès aux comptes clients, pourquoi ne pas donner à l'administrateur un droit de modifications de devis du client ?

[boteha]

Bonjour,

D'accord mais il y a d'autres opérations qui nécessitent l'accès au compte.
Ne serait-ce que pour le voir si le client cherche une facture.
Rien n'est sérieusement confidentiel dans ce compte.

[Neckara]

Il suffit alors d'attribuer à l'administrateur les droits nécessaires.

Si tu permets à un administrateur de se connecter sur le compte d'un client, cela pose deux problèmes :

• dans tes logs, tu ne sauras pas si une action est du fait du client ou de l'administrateur ;
• tu donnes à l'administrateur tout droit sur le compte client, ce qui pose deux problème :
  
  • pour les fonctionnalités existantes, il faut les identifier et réfléchir si en donner accès à l'administrateur est pertinent. Donner des droits pour chaque fonctionnalités plutôt que de donner l'accès au compte client permet de faire ce travail d’identification et de réflexion de manière rigoureuse.
  • pour les fonctionnalités futures, si tu ajoutes une fonctionnalité, l'administrateur pourra directement y avoir accès via le compte client, ce qui pourrait poser problèmes a terme.

Ce n'est pas qu'une question de confidentialité mais aussi de non-répudiation/intégrité des données.

[boteha]

Bonjour,

Dans tes logs, tu ne sauras pas si une action est du fait du client ou de l'administrateur ;

Avec l'adresse IP on peut savoir.

Pour le reste je reconnais que tu as raison, au moins sur le plan théorique.

Sur la plan pratique c'est plus nuancé car ce n'est pas le site d'une banque, nous n'avons pas besoin d'une sécurité extrême.

Nous avons souvent besoin de faire des choses pour nos clients. Cela devrait alors passer par l'interface d'administration alors que c'est si facile de passer par le site et que cela permet de vérifier un bug généralement imaginaire signalé par le client.

Je vais réfléchir, merci pour tes pistes.

[Neckara]

Avec l'adresse IP on peut savoir.

Pas vraiment, tu peux avoir des adresses IP dynamiques, partager une même IP publique, être en déplacement et utiliser un réseau public, etc.

Cela peut servir d'indice, mais n'est pas suffisant.

Sur la plan pratique c'est plus nuancé car ce n'est pas le site d'une banque, nous n'avons pas besoin d'une sécurité extrême.

Ce n'est même pas une sécurité extrême, loin de là. Je qualifierais cela plus de "bonne pratique".
D'ailleurs, il faudrait aussi regarder du point de vue légal si vous pouvez vraiment permettre à un administrateur de se connecter sur le compte d'un client, et si oui, sous quelles conditions. En cas de problème, savoir comment vous serez protégés.

Nous avons souvent besoin de faire des choses pour nos clients. Cela devrait alors passer par l'interface d'administration alors que c'est si facile de passer par le site

Si l'interface d'administration vous répulse ou est trop complexe, peut-être qu'une refonte de l'interface d'administration serait nécessaire ?

et que cela permet de vérifier un bug généralement imaginaire signalé par le client.

Ne serait-il pas possible d'avoir des comptes de tests ? Éventuellement sur un serveur de test ? Que vous pouvez paramétrer afin d'y intégrer des caractéristiques, plus ou moins automatiquement, du compte du client ?

[boteha]

Bonjour,

Merci de tes réponses.

Objectivement tu as raison sur tous les points.