Gestion de la sécurité

Cette page pourra être le début de notre réflexion à propos des moyens (éventuellement techniques) mis en oeuvre concernant la gestion de la sécurité du site.

Gestion des clients

Inscription de nouveaux clients

Information

Les nouveaux clients s'inscriront à l'aide d'un formulaire sur le site Web.
Ils devront fournir obligatoirement les informations suivantes :

  • Identifiant
  • Civilité (Mme, Mlle, M)
  • Nom
  • Prénom
  • Adresse e-mail
  • Mot de passe

Contrôles à effectuer

  • Identifiant
    • Vérifier la conformité de l'entrée ;
    • Contrôler la non-existence ;
    • Imposer un nombre de caractères minimal et maximal ;
  • Civilité
    • Vérifier la conformité de l'entrée ;
  • Nom
    • Vérifier la conformité de l'entrée ;
  • Prénom
    • Vérifier la conformité de l'entrée ;
  • Adresse e-mail
    • Vérifier la conformité de l'entrée ;
    • Tester l'existence de cette adresse ;
  • Mot de passe
    • Vérifier la conformité de l'entrée ;
    • Contrôler la résistance du mot de passe ;

Procédures de contrôles

Toutes les informations fournies par l'utilisateur devront être contrôlées. Cela comprend bien entendu les données entrées directement par l'utilisateur (formulaire), mais également celles fournies indirectement (champs cachés, variables d'URL ou de session). Ce contrôle devra être généralisé à l'ensemble du site.

En ce qui concerne l'inscription, le contrôle de base (Vérifier la conformité de l'entrée) peut se faire par expression régulière.
Pour les contrôles avancées :

  • Identifiant
    • Contrôler la non-existence : soit en vérifiant dans la base à l'aide d'un SELECT, soit en contrôlant lors de l'insertion (si le login est une PRIMARY KEY, il y aura une erreur);
    • Imposer un nombre de caractères minimal et maximal : avec une expression régulière;
  • Adresse e-mail
    • Tester l'existence de cette adresse : demander un mail de confirmation ;
  • Mot de passe
    • Contrôler la résistance du mot de passe : tests basiques (dictionnaire, différent du login, …) ;

Protection contre les inscriptions automatisées

Utilisation de captcha : c'est moyen concernant l'accessibilité, mais on n'est pas en IHM.
Exemple : Captcha en PHP

Mail de confirmation : à voir niveau implémentation, ça nous ferait 2 contrôles en 1.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License