[RESOLU] - Sécurité des Forums

Archives des questions et problèmes résolus par les utilisateurs dans le forum "App Indexing et Topic'it".

Nounouk
Messages : 1
Inscription : 24 nov. 2017, 08:53
Type d'appareil mobile :
Marque/Modèle :
Version de l'OS :
URl du forum : http://anaaga.forumactif.com

[RESOLU] - Sécurité des Forums

Message par Nounouk » 24 nov. 2017, 09:17

Bonjour,
Je suis administrateur d'un Forum "Gendarmerie Nationale" (Association des Anciens et Anciennes Gendarmes Auxiliaires).
Nous avons rencontré de gros problèmes avec Topic'it, qui sont:

- Impossibilité de contrôler qui se connecte sur le forum (traçabilité IP impossible)
- Securité captcha inopérante (nous avons déjà eu des intrusions malveillantes)
- Sur notre forum nous avons un code javascript pour obliger les membres à remplir leur profil et poster un premier message de présentation; Ce code devient lui aussi inopérant quand on utilise l'application !

Ce qui est certain c'est que pour les visiteurs ça facilite grandement les choses, mais coté administration des forums la sécurité est affectée !
Désolé, mais c'est notre constat.

Alors si vous avez des réponses claires à ce sujet nous sommes preneurs !

A.Leclercq
Administrateur Forum A.N.A.A.G.A

Avatar de l’utilisateur
The Godfather
Administrateur du site
Messages : 25
Inscription : 17 nov. 2016, 17:07
Type d'appareil mobile : iOS
Marque/Modèle : iPhone
Version de l'OS :
URl du forum : https://aide.topicit.net

Re: [RESOLU] - Sécurité des Forums

Message par The Godfather » 01 déc. 2017, 14:33

Bonjour Nounouk,

Tout d'abord, je vous rassure tout de suite. Topic'it n'affecte la sécurité des forums d'aucune manière que ce soit ! Il ne fait que transcrire les permissions et autorisations mise en place via le forum ;)

Concernant vos questions :

Impossibilité de contrôler qui se connecte sur le forum (traçabilité IP impossible)

Qu'importe la façon dont l'internaute utilise le forum (Version web, mobile ou app Topic'it), la traçabilité IP est toujours possible. Cela n'a aucun rapport avec l'application mobile Topic'it car cette traçabilité est une fonction native des forums Forumactif sans rapport avec l'application...

Pour tracer les utilisateurs qui se connectent sur le forum, qu'importe l'outil qu'ils utilisent (version web, mobile ou application Topic'it), il vous suffit de vous connecter sur le panneau d'administration de votre forum puis de vérifier la liste "Qui est en ligne ?" que vous trouverez dans l'onglet "Accueil".

Vous y trouverez la liste de tous les internautes présents sur votre forum (invités comme membres) avec leur date de connexion et leur adresse IP :mrgreen:

Securité captcha inopérante (nous avons déjà eu des intrusions malveillantes)

Le but d'un Captcha n'est pas d’empêcher les intrusions malveillante. Un Captcha a pour but de vérifier que l'utilisateur qui se connecte est bien un humain et non un robot spammeur.

En utilisant le Topic'it Connect directement sur le forum ou via l'App Topic'it, en effet l'utilisateur n'a pas obligation de valider le Captcha du forum. Cela n'est pas un oubli ou une faille de sécurité, loin de la !

Le but de Topic'it est de facilité l'utilisation et l'interaction légitime des utilisateurs avec leurs forums favoris. Dès lors, la vérification des comptes de chaque utilisateur se fait beaucoup plus en amont et dès la création du compte Topic'it.

En effet, chaque utilisateur Topic'it doit passer avant la validation et création de son compte, une validation du Captcha de Google (parfois plusieurs validations du Captcha avec des nouveaux de difficultés différents sont nécessaires avant de valider le compte) suivi d'une validation par mail.
Dès lors que l'utilisateur a passé ces tests avec succès nous croisons ses données avec celles de nos listes antispam et celles des principaux fournisseurs web et nos blacklistes. Si rien n'est signalé, le compte Topic'it est considéré comme valide et est donc autorisé à être utilisé pour s'inscrire sur les forums Forumactif. :o

Vous voyez bien que chaque compte Topic'it valide, a déjà subit plusieurs batteries de test d'authenticité avant d'arriver sur votre forum. Le but de Topic'it étant entre autres de faciliter les inscriptions sur les forums, il est inutile de refaire subir des tests unitaires de Captcha a l'utilisateur Topic'it alors qu'il en a déjà passé plusieurs avec succès avant d'arriver sur le forum.

Néanmoins, et encore une fois, c'est l'administrateur qui a la main sur ces éléments et non Topic'it. En effet, si ce fonctionnement ne vous convient pas et que vous préférez que l'utilisateur valide son compte au niveau de votre forum qu'importe le moyen utilisé, vous pouvez tout à fait le faire en désactivant la possibilité de s'inscrire sur votre forum via le Topic'it Connect ou encore que les inscriptions des utilisateurs Topic'it soient considéré automatiquement comme étant valides.

Pour cela, il vous suffit de modifier les options que vous avez dans votre panneau d'administration > modules > Topic'it > configuration > Activer le bouton Topic'it Connect sur le forum + Activer automatiquement les utilisateurs de Topic'it Connect > NON.

Cela aura pour effet d'appliquer aux utilisateurs de Topic'it les mêmes restrictions d'accès et d'enregistrement au forum que les autres membres.

Sur notre forum nous avons un code javascript pour obliger les membres à remplir leur profil et poster un premier message de présentation; Ce code devient lui aussi inopérant quand on utilise l'application !

Je vous confirme que les JS des forums sont inopérants sur l'App et c'est tout à fait normal ! D'ailleurs, je vous conseille vivement d'éviter de gérer les permissions de faire tel ou tel choses sur le forum via ce genre de codes car très facilement contournable...!

Si vous souhaitez obliger les nouveaux membres à poster un message de présentation avant de pouvoir accéder au forum, vous pouvez très facilement le faire d'une façon sécurisé en jouant sur les permissions des groupes et les adhésions automatiques aux groupes ;)

Exemple de montage possible : Vous créez un groupe avec adhésion automatique à 0 message qui n’a le droit de voir qu’un seul et unique sous-forum qui est celui des présentations. Tous les autres sous-forums publiques seront affectés à d’autres groupes d’adhésion automatique a au moins 1 message.
Dès lors qu'un utilisateur s’enregistre, il est automatiquement affecté au groupe 0 message qui lui donne la permission d’accès uniquement au sous-forum des présentations et rien de plus.

Dès que la présentation est faite, son compteur de message totalisera 1 message et sera automatiquement admis dans le groupe des 1 message ce qui lui donnera accès aux autres sous-forums et ainsi de suite les permissions se suivent de façon claire et sécurisé.

Et pour finir, concernant les profils personnalisés, c’est une évolution future qui a déjà été demandé par nos utilisateurs et qui est à l’étude actuellement.

En espérant que c’est plus clair pour vous maintenant

Cordialement

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité