J'ai utilisé énormément d'outils de ticketing en tant qu'utilisateur dans de grosses sociétés.
Aujourd'hui je suis l'administrateur de l'outil de ticket, j'ai choisis GestSup je l'utilise depuis environ 1 mois, (pour la gestion de développement d'une application métier) je suis personnellement séduit.
Gestsup est fortement apprécié par ma direction et je souhaites donc le rendre utilisable à l'ensemble de la société.
Et gérer donc les demandes bureautique etc ... (+600 utilisateurs)
Pour cela je dois rendre sécurisé GestSup et actuellement ce n'est pas le cas et n’ayant pas énormément de connaissance d'architecture et developpement, je bloque pour les 3 alertes de sécurités suivantes :
- HTTPS : Désactivé, les connexions vers le serveur ne sont pas chiffrées (Installer un certificat Let's Encrypt).
==> J'ai fait ouvrir les ports 443 en plus du port 80, pour permettre l'accès coté réseau en http et https, le problème est que dès la première page du tuto "https://certbot.eff.org/lets-encrypt/nonunix-apache" je ne sais pas quoi choisir, j'ai essayé tout de même de générer le fichier mais je me suis très vite perdu ....
- Durée de la session : PHP=7200s GestSup=0m, pour plus de sécurité diminuer la durée à 24m minimum, paramètre "session.gc_maxlifetime" du php.ini et paramètre GestSup.
==> Ici j'ai effectivement augmenté le délais de de-connexion car les tickets mettent parfois 2 heures à êtres créés et si le délai est de 24 minutes, l'utilisateur peut perdre toute sa saisie s'il était déconnecté de manière automatique (je me suis fait avoir plusieurs fois).
- Droits d'écriture : Non verrouillés (cf documentation).
==> Je ne sais pas comment régler cela, les explications ne sont que pour linux ... quelle est la solution pour un GestSup hebergé sur Windows/WAMP ?
Je suis conscient que cela prendra du temps pour me répondre, mais je promet ne pas être que de passage, je vais vraiment offrir mon expérience sur votre outil et participer activement au forum et à l’amélioration de Gestsup.
