Sécuriser l'application - Githubissues

arnaudrenaud / the-good-corner

Wild Code School live coding project: TypeScript, React, styled-components, Next.js, GraphQL (Apollo), type-graphql, TypeORM, Postgres, Docker, Docker Compose.

1 stars 16 forks source link

Sécuriser l'application #12

Open arnaudrenaud opened 1 month ago

arnaudrenaud commented 1 month ago

Référence : https://owasp.org/Top10/fr/

Application :

[ ] Limiter l'accès aux méthodes exposées par le serveur (en fonction de l'authentification, du rôle ou des droits de propriété)

Dépendances :

[ ] Mettre à jour régulièrement les dépendances (npm install …@latest)

Chiffrage :

[x] Rediriger les requêtes HTTP vers HTTPS (fait automatiquement par Caddy)

Authentification :

[x] Saler et hacher les mots de passe (fait par bcrypt)
[x] Utiliser des identifiants de session de 128 bits (16 octets) aléatoires (généré par crypto)
[ ] Supprimer la session en base de données lors de la déconnexion de l'utilisateur

Injections de code :

[x] Utiliser des requêtes préparées (ou ORM) pour éviter les injections SQL (fait par TypeORM)
[x] Échapper les scripts lors du rendu dans le navigateur pour éviter les injections XSS (données soumises par un utilisateur dans un formulaire par exemple) (fait automatiquement par React)

Serveur :

[x] Ne pas exposer publiquement de ports non utilisés (limiter le trafic à HTTP, HTTPS et SSH)
[x] Isoler les services (conteneurs isolés avec Docker)
[x] Exposer le moins de services possibles sur l'hôte (seulement le reverse proxy nginx)