From 5a2ca7623d49e309033e603cc719641288d7f4a7 Mon Sep 17 00:00:00 2001
From: Colin Darie <colin@darie.eu>
Date: Thu, 7 Dec 2023 13:13:08 +0100
Subject: [PATCH] chore(doc): documentation about imagemagick securization

---
 README.md | 20 +++++++++++++++++---
 1 file changed, 17 insertions(+), 3 deletions(-)

diff --git a/README.md b/README.md
index cf56ab154ba..537beb13b0d 100644
--- a/README.md
+++ b/README.md
@@ -17,10 +17,24 @@ Vous souhaitez y apporter des changements ou des améliorations ? Lisez notre [
 #### Tous environnements
 
 - postgresql
-- imagemagick et gsfonts pour générer les filigranes sur les titres d'identité.
+- imagemagick et gsfonts pour générer les filigranes sur les titres d'identité ou générer des minitiatures d'images.
+
+> [!WARNING]
+> Pensez à restreindre la policy d'ImageMagick pour bloquer l'exploitation d'images malveillantes.
+> La configuration par défaut est généralement insuffisante pour des images provenant du web.
+> Par exemple sous debian/ubuntu dans `/etc/ImageMagick-6/policy.xml` :
+
+```xml
+<!-- en plus de la policy par défaut, ajoutez à la fin du fichier -->
+<policymap>
+    <policy domain="coder" rights="none" pattern="*"/>
+    <policy domain="coder" rights="read | write" pattern="{JPG,JPEG,PNG}"/>
+    <policy domain="module" rights="none" pattern="{MSL,MVG,PS,SVG,URL,XPS}"/>
+</policymap>
+```
 
-nous sommes en cours de migration de delayed_job vers sidekiq pour le traitement des jobs asynchrones.
-pour faire tourner sidekiq, vous aurez besoin de
+Nous sommes en cours de migration de `delayed_job` vers `sidekiq` pour le traitement des jobs asynchrones.
+Pour faire tourner sidekiq, vous aurez besoin de :
 
 - redis