Nouvelles

EGroupware a dĂ©jĂ  mis en place les plus hautes mesures de sĂ©curitĂ©, par exemple. les mots de passe sont chiffrĂ©s par dĂ©faut Ă  l’aide de l’algorithme blowfish. Ainsi, mĂŞme si quelqu’un rĂ©ussit Ă  s’introduire dans votre serveur et Ă  voler la base de donnĂ©es, vos mots de passe sont sauvegardĂ©s !

Avec la version 14.1, nous avons encore amĂ©liorĂ© la sĂ©curitĂ© et mis en place deux mesures de sĂ©curitĂ© que l’on ne trouve pas dans des produits comparables.

Politique de sécurité du contenu : mesure ultime contre le cross site scripting
Le Cross Site Scripting (XSS) est probablement la plus grande menace pour les applications web. Il est causĂ© par des utilisateurs malveillants qui insèrent des commandes javascript dans le contenu qu’ils saisissent. Si ce contenu est Ă  nouveau Ă©mis par le serveur, le navigateur n’a aucun moyen de faire la distinction entre le javascript en ligne souhaitĂ© dans le balisage html (par exemple, l’attribut onclick d’un bouton) et le contenu utilisateur Ă©chappĂ© insuffisant.

EGroupware Ă©tait dĂ©jĂ  assez sĂ»r Ă  cet Ă©gard grâce Ă  son moteur innovant eTemplate qui rend notre interface utilisateur. Je pense qu’il existe d’autres moyens que la saisie pure de l’utilisateur pour gĂ©nĂ©rer des XSS.

La politique de sĂ©curitĂ© du contenu (CSP) Ă  la rescousse : Le W3C a dĂ©fini il y a quelques annĂ©es un moyen d’indiquer aux navigateurs de NE PAS exĂ©cuter de javascript en ligne ou de charger des fichiers javascript provenant de sources non fiables. Bonne nouvelle, il est dĂ©sormais pris en charge par tous les navigateurs actuels, sauf Internet Explorer.

Alors pourquoi tout le monde ne l’utilise-t-il pas ? Les applications web typiques utilisent eg. des attributs onclick pour relier les boutons Ă  leurs actions ou des blocs javascript en ligne pour dĂ©finir un contenu dynamique. C’est un effort considĂ©rable pour changer cela.

Toutes les principales applications EGroupware utilisent notre nouveau moteur eTemplate2 pour gĂ©nĂ©rer leur interface utilisateur. Ce moteur a Ă©tĂ© entièrement conçu au cours des trois dernières annĂ©es et l’un de ses objectifs Ă©tait d’Ă©liminer tout javascript en ligne. eTemplate2, une nouvelle API cĂ´tĂ© client et des changements importants dans les applications principales d’EGroupware, ainsi que le code du modèle pour l’apparence gĂ©nĂ©rale, nous ont permis d’utiliser CSP pour interdire au navigateur d’exĂ©cuter tout javascript en ligne.

Les anciennes applications peuvent toujours fonctionner en utilisant le javascript en ligne en indiquant au cadre EGroupware qu’elles en ont besoin. Ces applications s’exĂ©cutent dans une iframe ou une popup afin de minimiser leur capacitĂ© Ă  interfĂ©rer avec les applications eTemplate2 dĂ©jĂ  modernisĂ©es. Il en va de mĂŞme pour les applications utilisant l’intĂ©gration de texte riche via CKeditor, qui, malgrĂ© nos efforts pour convaincre ses fabricants, ne peut fonctionner sans javascript en ligne.

Mots de passe de la messagerie dans la version 14.1 : désormais stockés dans leur propre coffre-fort de mots de passe
Pour pouvoir s’authentifier auprès d’un serveur IMAP ou SMTP arbitraire, il faut un nom d’utilisateur et un mot de passe en clair / non cryptĂ©.

Les versions prĂ©cĂ©dentes d’EGroupware permettaient dĂ©jĂ  d’utiliser le mot de passe de connexion des utilisateurs, qui n’est pas stockĂ© de manière permanente sur le système. Cela nĂ©cessitait un serveur de messagerie intĂ©grĂ© Ă  EGroupware, par exemple. via LDAP.

La nouvelle application de messagerie Ă©crite dans la version 14.1 n’apporte pas seulement une nouvelle expĂ©rience utilisateur, elle amĂ©liore Ă©galement la sĂ©curitĂ© en stockant en toute sĂ©curitĂ© les mots de passe de messagerie cryptĂ©s avec le mot de passe de connexion des utilisateurs. Cela signifie, avec les mots de passe sĂ©curisĂ©s Ă  jour mentionnĂ©s ci-dessus, qu’une base de donnĂ©es volĂ©e ne rĂ©vèle pas vos mots de passe !

Vous pouvez vous demander ce qui se passe si l’utilisateur change son mot de passe. Si cela est fait Ă  partir d’EGroupware, les mots de passe sont automatiquement dĂ©cryptĂ©s avec l’ancien mot de passe donnĂ© par l’utilisateur et rĂ©-encryptĂ©s avec le nouveau. Si un administrateur rĂ©initialise un mot de passe, il n’aura pas accès aux mails (privĂ©s) des utilisateurs !

Les nouvelles caractĂ©ristiques de sĂ©curitĂ© d’EGroupwares dĂ©crites ci-dessus, nos mises Ă  jour de sĂ©curitĂ© automatiques et rapides via le gestionnaire de paquets de votre distribution Linux ou l’hĂ©bergement spĂ©cialisĂ© d’EGroupware et de courrier Ă©lectronique de Stylite AG le recommandent comme une alternative sĂ»re pour vos besoins en matière de groupware ou d’organisation d’Ă©quipe.

Notre hĂ©bergement offre une connectivitĂ© cryptĂ©e de pointe avec un secret de transmission parfait (les communications interceptĂ©es ne peuvent pas ĂŞtre cryptĂ©es avec des clĂ©s acquises ultĂ©rieurement), de l’accès au web aux courriers entrants et sortants. Tous nos serveurs se trouvent en Allemagne, sous notre contrĂ´le total. Ils utilisent uniquement les dernières versions des logiciels et sont mis Ă  jour en permanence. Les incidents liĂ©s Ă  la sĂ©curitĂ©, comme le rĂ©cent bogue Heartbleed, ont Ă©tĂ© corrigĂ©s en quelques heures !

Ralf Becker

Directeur du développement logiciel