Bonjour,
J’ai développé une application « GIPel » qui m’est très utile quotidiennement.
Elle utilise une vieille version de CodeIgniter et elle est téléchargeable sur ce lien :
application GIPel 26.04.
Une démo est également disponible.
Si ça peut servir aux adeptes de Debian, tant mieux.
Bonne journée à tous
Pour une application qui gère des données personnelles, ne pas avoir de déclaration RGPD est un peu un manque.
t’es dur
Réaliste surtout. Toujours prévoir le risque, car il est toujours là. L’optimisme ne compte pas.
C’est une application mono-utilisateur. Il n’y a qu’un cookie de connexion.
En somme, c’est un pense-bête.
Tu veux dire une application standalone, qui s’installe localement et qui jamais ne fait de liens sur internet?
Si c’est une application en ligne, alors la RGPD s’applique, d’autant plus que son utilité est de conserver des données personnelles…
D’accord, je vais voir ce que je peux faire.
Cette application ne présente pas de sécurité apparente, et aucune déclaration RGPD … je ne peux qu’avertir de faire attention et à minima de contrôler en cas de tests les communications avec l’extérieur.
1 J'aime
En fait, la sécurité, c’est que pour accéder aux données, il faut :
- connaitre l’url de l’appli
- connaitre l’identifiant
- et connaitre le mot de passe
ça fait 3 éléments qui font que cette appli est quasiment inaccessible par quiconque, sinon par l’utilisateur principal [et éventuellement par des proches de l’utilisateur principal].
Il est vrai qu’elle permet de se connecter à à peut près n’importe quel site, et que l’origine de la connexion peut être vue par les sites pointés par cette appli.
D’où la découverte de l’url.
Mais il reste encore l’identifiant et le mot de passe à craquer par un quelconque intrus.
As-tu mis un mécanisme de lutte contre les tentatives d’attaque force brute ? Si quelqu’un découvre l’URL, et qu’ensuite il n’est pas gêné pour tester à l’infini des combinaisons d’identifiants et mots de passe, la sécurité est donc égale à la force du mot de passe le plus faible.
Sur quoi te bases-tu pour cette affirmation? as-tu fait un test avec un outil de type OpenVAS par exemple?
Par ailleurs, tu sembles ne pas connaître le moins du monde ce qu’est la RGPD.
La RGPD n’a pas pour objet de réglementer le piratage mais de réglementer l’utilisation des données personnelles, donc in finé, de ce toi tu fais des donné&es personnelles.
Quand à connaître l’URL ce n’est pas un problème.
Défoncer les accès, il suffira d’avoir une faille de sécurité dans ton application. Est-elle conforme au recommandation de l’ANSSI?
Ta réponse montre effectivement que tu ne connais rien à la RGPD et le traitement des données personnelles et encore moins sur la cybersécurité.
je vais mettre une restriction d’IP dans mon fichier .htaccess, comme ça, on n’en parle plus
tu n’as toujrosu aps compris.
perso je confirme le message de @Clochette , je déconseille toute utilisation de ton application; à la fois à titre personnel, mais aussi en tant que membre d’une équipe RSSI.