We apologize for untranslated text, you can use the Google Translation button to get an automatic translation of the web page in the language of your choice.

Informations stockées dans les cookies dans JCMS 8

Laurent Benoit · on 3/28/14 at 8:31 PM

Bonjour,

Pour des problématiques liées notamment aux préconisations de la CNIL, notre RSSI souhaiterait savoir si notre intranet gère des cookies et quelles informations y sont stockées.

Nous n'avons pour le moment aucun développement spécifique utilisant les cookies et au niveau de JCMS nous n'avons pas noté d'autres cookies que :
- un cookie de session
- un cookie "jcms.prefs"

Pouvez-vous nous confirmer que JCMS ne génère que les cookies ci-dessus, nous préciser à quoi sert le cookie "jcms.prefs", et s'il y a d'autres cookies dont nous n'aurions pas connaissance SVP ?

Notre configuration :
- JCMS 8.0.2
- Module Bureau Virtuel 3.1
- Module Calendrier 3.2
- Module Carrousel 1.3
- Module Category Rights 2.0.2
- Module Espaces Collaboratifs 5.2
- Module Explorer 2.3
- Module Newsletter 2.2
- Module Wiki 5.1

Merci par avance pour toute information pouvant éclaircir cette question.

Cordialement,

16 pts
Olivier Jaquemet - on 3/31/14 at 9:52 AM
Best answer

Bonjour,

Voici la liste cookies qui sont ou peuvent être mis en oeuvre lors de l'utilisation de JCMS.

à ma connaissance, cette liste est exhaustive à ce jour.

Serveur d'application : 

  • Cookie de session JSESSIONID (peut être appelé autrement suivant le serveur d'application) : .
    • Nature/Fonction : contient un identifiant aléatoire permettant d'identifier la session de l'utilisateur lors de son accès au site 
    • Quand : dès accès au serveur JavaEE, de façon systématique (sauf configuration explicite du serveur)
    • Nécessité : requis pour le bon fonctionnement de l'authentification et de plusieurs autre fonctionnalité de JCMS
    • Accès : par le protocole HTTP uniquement (pas en javascript)
    • Durée de vie : 30 minutes après la dernière activité utilisateur (modifiable coté serveur) ou supprimer à la fermeture du navigateur
    • Configuration : cf serveur d'application

JCMS :

  • Cookie d'authentification memberId
    • Nature/Fonction : contient l'identifiant du membre JCMS et une clé cryptographique permettant de réautheentifier l'utilisateur 
    • Quand : après authentification d'un utilisateur dans JCMS
    • Nécessité : optionnel, mais recommandé pour éviter plusieurs dysfonctionnement potentiel à expiration de la session JavaEE (cf notes JCMS-3286 ) 
    • Accès : par le protocole HTTP uniquement (pas en javascript)
    • Durée de vie :
      • par défaut tant que le navigateur est ouvert,
      • si l'utilisateur à choisir l'option mémorisé l'authentification, alors la durée est celle spécifié par la propriété cookie.max-age
    • Configuration
      • Désactivation complète via propriété auth-mgr.cookie-enabled: true/false
      • Désactivation pour les administrateur via propriété auth-mgr.allow-admin-cookie: true/false
      • Désactivation de l'option "mémoriser le mot de passe" : auth-mgr.persistent.show-option false
      • Graine unique utilisée pour la clé cryptographique, spécifique à chaque application JCMS, pour accroitre la sécurité : auth-mgr.cookie.server-seed: ... (depuis JCMS8 uniquement et l'évolution JCMS-3295)
  • Cookie de préférences jcms.prefs
    • Nature/Fonction : permet de conserver des préférences utilisateur, notamment les onglets ouverts
    • Quand : lors de la navigation de l'utilisateur
    • Nécessité : optionnel
    • Accès : javascript uniquement, via l'API $.jalios.Prefs.data(...)
    • Configuration : Pas de configuration possible.

Modules

  • Cookie de déconnexion SSO : (nom variable suivant les modules) 
    • Nature/Fonction : aucune valeur, sa seule présence indique que la déconnexion du SSO en cours a été effectué et qu'il ne faut pas reconnecté l'utilisateur. Permet de proposer une déconnexion au site même dans lorsqu'un module d'authentification automatique est en place
    • Quand : lorsque l'utilisateur se déconnecte d'une session de SSO : 
      • Authentification Windows (module Waffle) jcmsSkipWaffle
      • Authentification JcmsSSO (module JcmsSSO) : jcmsSkipJcmsSSO
    • Nécessité : optionnel
    • Accès : par le protocole HTTP uniquement (pas en javascript)
    • Configuration : la déconnexion peut être interdirte sur ces modules
#1

Bonjour Olivier,

Merci pour cette réponse à la fois rapide et parfaitement détaillée. Voilà qui devrait éclaircir notre lanterne.

Bien cordialement,

Laurent Benoit · on 4/1/14 at 7:50 AM
13 pts