Sécurité du site Web

Circle dispose de deux méthodes de sécurité pour protéger vos sites Web :

     Protocole HTTPS - Crypte la communication entre le navigateur et le site Web.

     Authentification utilisateur (SecURL) - Protège l'accès aux informations sur les destinataires stockées dans les ADOR.

Pour une solution avec une sécurité optimale, il est recommandé d'utiliser le protocole HTTPS, l'authentification utilisateur et un ID sécurisé.

Protocole HTTPS

Vous pouvez utiliser le protocole HTTPS pour garantir le cryptage de la communication entre le navigateur et le site Web. Lors de la connexion à un site Web via HTTPS, le site Web crypte la session avec un certificat SSL (Secure Sockets Layer) numérique.

Lorsque le protocole HTTPS est configuré et activé, Circle applique le protocole HTTPS dans les liens de pages Web, les URL conviviales, les API XMPL et l'aperçu en direct de Circle. Actuellement, le protocole HTTPS n'est pas pris en charge dans les messages électroniques, les fichiers PDF à la demande et XMPieRURL ADOR. Si vous souhaitez continuer à utiliser HTTP dans vos messages électroniques et les PDF à la demande dans une configuration HTTPS, vous pouvez le faire en laissant le port 80 ouvert.

Dans une configuration HTTPS, il n'y a pas de blocage automatique de HTTP. Par exemple, si un lien de site Web personnalisé est codé en dur sous HTTP, il continuera à fonctionner dans HTTP.

Après avoir activé HTTPS pour un projet donné, l'URL du serveur XMPL, dans le fichier de configuration du site Web (xmpcfg.js) passera de HTTP à HTTPS. Par conséquent, vous devez télécharger ce fichier et le remplacer dans le dossier racine du site. Si vous revenez à HTTP, remplacez également le fichier de configuration.

 Avant d'activer HTTPS, reportez-vous à l'article Conditions préalables de configuration pour HTTPS.

Pour activer le protocole HTTPS :

1.     Dans la bibliothèque, cliquez sur Site Web, dans le volet de gauche.

2.     Dans la section Sécurité, cochez la case Utiliser HTTPS.

3.     Cliquez sur Save (Sauvegarder).

4.     Dans la section Configuration générale, cliquez sur l’icône Télécharger  pour télécharger le fichier de configuration généré (xmpcfg.js) et placez-le dans le dossier racine du site.

Authentification utilisateur - SecURL

Important ! Avant de commencer, il est recommandé de visionner la vidéo suivante :
Authentification sur un site Web personnalisé  

Condition préalable : Avant d'activer l'authentification utilisateur dans Circle, vous devez ajouter des composants d’authentification à votre site XMPL de manière à ce que celui-ci prenne en charge le protocole d’identification des utilisateurs. Pour en savoir plus

L’authentification utilisateur empêche les utilisateurs non autorisés d’accéder aux informations de destinataires privés stockées dans les ADOR.

L'authentification utilisateur est utilisée pour augmenter la sécurité en ligne. La protection de vos URL personnalisées (PURL) de cette manière constitue une étape importante vers la conformité vis-à-vis du RGPD. Elle est généralement utilisée avec le protocole HTTPS.

Lors de l'utilisation de l'authentification utilisateur, le système invite le destinataire, lors de la tentative d'accès à une URL personnalisée, à se connecter via une page de connexion. Le destinataire doit entrer un mot de passe (ou un nom d'utilisateur et un mot de passe, selon la configuration). Si le mot de passe est correct, le destinataire se voit accorder l'accès au PURL. L'accès en lecture/écriture aux valeurs ADOR reste protégé jusqu'à la connexion du destinataire. Le suivi des événements ne fonctionne pas tant que l'utilisateur n’est pas connecté.

Une fois l'authentification utilisateur activée dans Circle, tous les appels API REST pour XMPL nécessiteront un jeton de sécurité dans le cadre du projet, et le site ne fonctionnera pas sans identifiant de l’utilisateur.

L'authentification utilisateur est implémentée au niveau du projet et affecte à la fois les sites Web gérés et les sites Web personnalisés.

Les méthodes d'authentification prêtes à l'emploi fournies sont de type Aucun hachage (texte en clair) et MD5. Lors de l'insertion et de la mise à jour, le mot de passe ADOR est crypté selon la méthode de hachage.

Points techniques concernant l’authentification de l’utilisateur :

     Une fois l'authentification utilisateur activée dans Circle, le site XMPL ne pourra fonctionner sans connexion de la part de l’utilisateur.

     Une fois l'authentification utilisateur activée, tous les appels API REST pour XMPL pour ce projet nécessiteront un jeton de sécurité.

     Pour pouvoir être redirigé vers la page de connexion, vous devez créer un fichier de configuration séparé sur le client que vous nommerez xmpcustom.js. Pour créer ce fichier, voir la rubrique Configuration du fichier xmpcustom.js.

     Afin de savoir quel utilisateur authentifier, le RID doit être passé dans le PURL.

     Le délai d'expiration de la session de connexion est d'une heure, après quoi l'utilisateur est renvoyé à la page de connexion.

     XMPL version 3.0 ou ultérieure est requis.

 SecURL n'est pas pris en charge dans Template-Instance et Campaign-on-Demand (uStore). 

Pour activer l'authentification utilisateur

1.     Veillez à ajouter des composants d’authentification à votre site XMPL de manière à ce que celui-ci prenne en charge le protocole d’identification des utilisateurs.

2.     Dans la bibliothèque, cliquez sur Site Web, dans le volet de gauche.

3.     Dans la section Sécurité, cochez la case Exiger l'authentification de l'utilisateur.

À noter que le système ajoute les champs supplémentaires ci-dessous.

4.     Dans les listes déroulantes Nom d'utilisateur et Mot de passe, sélectionnez ADOR en texte. Le Nom d'utilisateur (par exemple, le Prénom) est facultatif. Le Mot de passe peut être un ADOR qui représente un identifiant, un code de connexion ou un mot de passe ADOR (un mot de passe client donné).

5.     Dans la liste de Hachage de mot de passe, sélectionnez la méthode de hachage de mot de passe requise. Les méthodes disponibles sont MD5 et Aucun hachage.

Assurez-vous que la méthode de hachage que vous avez choisie est compatible avec la méthode appliquée aux mots de passe de votre liste de destinataires.

Si vous souhaitez utiliser une méthode de hachage plus complexe, contactez request@xmcircle.com.

Changer la méthode de hachage de mot de passe

Pour modifier une colonne Mot de passe SQL et passer du mode texte en clair au cryptage MD5, vous pouvez utiliser le script suivant :

 À partir du moment où vous exécutez le script, vous ne pourrez pas revenir au mode texte en clair. Avant d’exécuter ce script, il est recommandé de sauvegarder la base de données.

-- Exécuter une seule fois :

create function dbo.XMPieHashMD5 (@input VARCHAR(250))

RETURNS VARCHAR(250)

AS BEGIN

    DECLARE @ret VARCHAR(250)

 

     set @ret = (SELECT

           CAST(N'' AS XML).value(

                  'xs:base64Binary(xs:hexBinary(sql:column("bin")))'

                , 'VARCHAR(MAX)'

           )   Base64Encoding

     FROM (

           SELECT HashBytes('MD5', @input) AS bin

     )as x);

 

    

     return  @ret

END

 

--Exemple d’utilisation - Mise à jour :

update dbo.[table]

set [Column] = dbo.XMPieHashMD5([Column])