Merge pull request #9815 from colinux/readme-imagemagick-policy

Tech: documente comment sécuriser ImageMagick
This commit is contained in:
mfo 2023-12-08 17:11:00 +00:00 committed by GitHub
commit 5c27091f0e
No known key found for this signature in database
GPG key ID: 4AEE18F83AFDEB23

View file

@ -17,10 +17,24 @@ Vous souhaitez y apporter des changements ou des améliorations ? Lisez notre [
#### Tous environnements #### Tous environnements
- postgresql - postgresql
- imagemagick et gsfonts pour générer les filigranes sur les titres d'identité. - imagemagick et gsfonts pour générer les filigranes sur les titres d'identité ou générer des minitiatures d'images.
nous sommes en cours de migration de delayed_job vers sidekiq pour le traitement des jobs asynchrones. > [!WARNING]
pour faire tourner sidekiq, vous aurez besoin de > Pensez à restreindre la policy d'ImageMagick pour bloquer l'exploitation d'images malveillantes.
> La configuration par défaut est généralement insuffisante pour des images provenant du web.
> Par exemple sous debian/ubuntu dans `/etc/ImageMagick-6/policy.xml` :
```xml
<!-- en plus de la policy par défaut, ajoutez à la fin du fichier -->
<policymap>
<policy domain="coder" rights="none" pattern="*"/>
<policy domain="coder" rights="read | write" pattern="{JPG,JPEG,PNG}"/>
<policy domain="module" rights="none" pattern="{MSL,MVG,PS,SVG,URL,XPS}"/>
</policymap>
```
Nous sommes en cours de migration de `delayed_job` vers `sidekiq` pour le traitement des jobs asynchrones.
Pour faire tourner sidekiq, vous aurez besoin de :
- redis - redis