Dans sa version actuelle, Open Lowcode a un niveau de sécurité suffisant pour l’utilisation dans un intranet pour des données non classifiée. Une limite importante est la clé ‘hardcodée’ sur le client et le serveur utilisée pour transporter les mots de passe.

Livré le 5 juillet 2020

Cette fonction va ajouter les mécanismes suivants:

  • Implémente le SSL ou un équivalent entre le cleint et le serveur. Il est attendu que le serveur est le client puissent générer les clés publiques et privées de bon niveau et les échanger pendant la première connection entre le client et le serveur.
  • Le mécanisme d’encryption devrait être utilisé pour encr
    y pter toute l’information, ou, si une pénalité de performance importante est rencontrée, pour encrypter seulement les mots de passes. Le mode devrait être configurable comme un paramètre sur le serveur.
  • Un mécanisme devra être implémenté pour supporter un second facteur d’authentication, soit à travers un token physique (OTP), soit en utilisant de l’information de single sign-on présente sur la workstation de l’utilisateur.

Statut final: la fonction a été livrée dans la version  Open Lowcode v1.10. Principales caractéristiques:

  • La communication client/serveur n’utilise pas les protocoles TLS/SSL comme ils sont très compliqués à mettre en place. Un mécanisme équivalent est implémenté: uneclé RSA est générée à chaque démarrage du serveur, et la clé publique est envoyée au client. Le client génère ensuite une clé AES qui est envoyée cryptée au serveur. La clé AES sert ensuite pour coder le reste de l’échange. 
  • Le second facteur d’authentication utilise un serveur Radius. Cette fonction peut être mise en place pour un nombre de modules du serveur.