EGroupware a déjà mis en place les plus hautes mesures de sécurité, par exemple. les mots de passe sont chiffrés par défaut à l’aide de l’algorithme blowfish. Ainsi, même si quelqu’un réussit à s’introduire dans votre serveur et à voler la base de données, vos mots de passe sont sauvegardés !

Avec la version 14.1, nous avons encore amélioré la sécurité et mis en place deux mesures de sécurité que l’on ne trouve pas dans des produits comparables.

Politique de sécurité du contenu : mesure ultime contre le cross site scripting
Le Cross Site Scripting (XSS) est probablement la plus grande menace pour les applications web. Il est causé par des utilisateurs malveillants qui insèrent des commandes javascript dans le contenu qu’ils saisissent. Si ce contenu est à nouveau émis par le serveur, le navigateur n’a aucun moyen de faire la distinction entre le javascript en ligne souhaité dans le balisage html (par exemple, l’attribut onclick d’un bouton) et le contenu utilisateur échappé insuffisant.

EGroupware était déjà assez sûr à cet égard grâce à son moteur innovant eTemplate qui rend notre interface utilisateur. Je pense qu’il existe d’autres moyens que la saisie pure de l’utilisateur pour générer des XSS.

La politique de sécurité du contenu (CSP) à la rescousse : Le W3C a défini il y a quelques années un moyen d’indiquer aux navigateurs de NE PAS exécuter de javascript en ligne ou de charger des fichiers javascript provenant de sources non fiables. Bonne nouvelle, il est désormais pris en charge par tous les navigateurs actuels, sauf Internet Explorer.

Alors pourquoi tout le monde ne l’utilise-t-il pas ? Les applications web typiques utilisent eg. des attributs onclick pour relier les boutons à leurs actions ou des blocs javascript en ligne pour définir un contenu dynamique. C’est un effort considérable pour changer cela.

Toutes les principales applications EGroupware utilisent notre nouveau moteur eTemplate2 pour générer leur interface utilisateur. Ce moteur a été entièrement conçu au cours des trois dernières années et l’un de ses objectifs était d’éliminer tout javascript en ligne. eTemplate2, une nouvelle API côté client et des changements importants dans les applications principales d’EGroupware, ainsi que le code du modèle pour l’apparence générale, nous ont permis d’utiliser CSP pour interdire au navigateur d’exécuter tout javascript en ligne.

Les anciennes applications peuvent toujours fonctionner en utilisant le javascript en ligne en indiquant au cadre EGroupware qu’elles en ont besoin. Ces applications s’exécutent dans une iframe ou une popup afin de minimiser leur capacité à interférer avec les applications eTemplate2 déjà modernisées. Il en va de même pour les applications utilisant l’intégration de texte riche via CKeditor, qui, malgré nos efforts pour convaincre ses fabricants, ne peut fonctionner sans javascript en ligne.

Mots de passe de la messagerie dans la version 14.1 : désormais stockés dans leur propre coffre-fort de mots de passe
Pour pouvoir s’authentifier auprès d’un serveur IMAP ou SMTP arbitraire, il faut un nom d’utilisateur et un mot de passe en clair / non crypté.

Les versions précédentes d’EGroupware permettaient déjà d’utiliser le mot de passe de connexion des utilisateurs, qui n’est pas stocké de manière permanente sur le système. Cela nécessitait un serveur de messagerie intégré à EGroupware, par exemple. via LDAP.

La nouvelle application de messagerie écrite dans la version 14.1 n’apporte pas seulement une nouvelle expérience utilisateur, elle améliore également la sécurité en stockant en toute sécurité les mots de passe de messagerie cryptés avec le mot de passe de connexion des utilisateurs. Cela signifie, avec les mots de passe sécurisés à jour mentionnés ci-dessus, qu’une base de données volée ne révèle pas vos mots de passe !

Vous pouvez vous demander ce qui se passe si l’utilisateur change son mot de passe. Si cela est fait à partir d’EGroupware, les mots de passe sont automatiquement décryptés avec l’ancien mot de passe donné par l’utilisateur et ré-encryptés avec le nouveau. Si un administrateur réinitialise un mot de passe, il n’aura pas accès aux mails (privés) des utilisateurs !

Les nouvelles caractéristiques de sécurité d’EGroupwares décrites ci-dessus, nos mises à jour de sécurité automatiques et rapides via le gestionnaire de paquets de votre distribution Linux ou l’hébergement spécialisé d’EGroupware et de courrier électronique de Stylite AG le recommandent comme une alternative sûre pour vos besoins en matière de groupware ou d’organisation d’équipe.

Notre hébergement offre une connectivité cryptée de pointe avec un secret de transmission parfait (les communications interceptées ne peuvent pas être cryptées avec des clés acquises ultérieurement), de l’accès au web aux courriers entrants et sortants. Tous nos serveurs se trouvent en Allemagne, sous notre contrôle total. Ils utilisent uniquement les dernières versions des logiciels et sont mis à jour en permanence. Les incidents liés à la sécurité, comme le récent bogue Heartbleed, ont été corrigés en quelques heures !

Ralf Becker

Directeur du développement logiciel