Cacher le settings de l'url serveur

[vaggarath]

Bonjour,

Aujourd'hui je testais pour implémenter la solution web de PIA. Aucun soucis pour le front comme pr le back d'un point de vue technique.

Le soucis que je rencontre est avec le fait qu'il ne m'est pas possible d'enlever le setting pour rentrer l'url serveur avec l'id et la secret key.
Pire, c'est accessible sans être connecté (ce qui a sa logique puisque pour se connecter il faut qu'il ai accès au back)
J'entends que l'idée est que chaque utilisateur ait une copie du build / dist en local mais, dans mon cas, le but d'installer une version web avec un back et un front est clairement d'avoir une instance unique sur notre serveur, pour ne pas avoir à aller installer un build sur chaque ordinateur.

Est-ce qu'il y a un moyen de cacher ce setting que j'aurai raté ? (sans aller commenter du code dans les components)
Du coup si j'ai vraiment raté quelque chose, est-ce qu'on peut renseigner les informations dans un fichier type .env ?

Dans le cas contraire est-ce que c'est quelque chose dans les tuyaux pour le futur ?^^

Merci d'avance :)

[syl-p]

Bonjour @vaggarath,
Merci pour votre retour, c'est une bonne remarque. Effectivement, si je comprend bien; vous souhaitez qu'une fois que les settings ont été paramétrés pour votre version web; il ne soit plus possible pour les utilisateurs ayant accès à celle ci de pouvoir les modifier.

Nous allons faire remonter l'information à la @LaboCNIL.

[vaggarath]

Bonjour,

Pardon pour le délai de réponses (congés).

C'est effectivement ce que je souhaiterai si possible.

En soit l'idée serait de déployer une instance unique sur un serveur sur lequel seul un administrateur pourrait avoir accès à ce genre de paramètres.
Voir même éventuellement le configurer à même le code via un fichier settings.php ou encore un .ENV pour que seul l'intégrateur de l'application puisse y avoir accès.

[Marthym]

Idéalement, il faudrait que l'url du serveur backend se configurer directement sur le serveur, via une variable d’environnement par exemple.
Les utilisateurs n'ont pas a toucher à ce genre de paramètre

[Dom-29]

Bonjour,
Également intéressé. Est-ce que vous savez si @LaboCNIL a pu avancer sur cette demande ?
Merci

[vaggarath]

Pas de retour. Je vais bientôt remonter une instance en preprod en gérant l'accès à cet élément côté machine. Ce n'est pas idéal mais je ne peux pas laisser ce genre d'éléments accessible aux utilisateurs.

[kevin-atnos]

Bonjour,

La demande est effectivement intéressante et pertinente.

Nous n'avons eu aucun retour de la CNIL à ce sujet pour le moment.
De ce que j'ai compris, il y a quelques remaniements de ressources en interne dans leur SI, et ils sont également principalement sur la recette de la nouvelle version 3.2.2 (qui commence à dater de plusieurs mois déjà).

Nous ne pouvons pas agir sans accord de leur part, donc disons que c'est malheureusement compliqué d'avancer sur des sujets comme celui-ci actuellement.

Néanmoins nous gardons bien en tête cette demande et nous vous tenons au courant si cela bouge de ce côté.

Cordialement,