🔐 Guide de Sécurité

ComfyUI MCP Server - Bonnes Pratiques

⚠️AVERTISSEMENT CRITIQUE

Ce serveur MCP n'implémente PAS d'authentification par défaut.

Toute personne ayant accès à l'URL du serveur peut :

Lire tous vos workflows ComfyUI
Exécuter des générations d'images
Lire et modifier vos custom nodes
Accéder à l'historique de génération

❌ Ce Qu'il Ne Faut JAMAIS Faire

1. Port Forwarding Direct

NE JAMAIS ouvrir le port 8000 directement sur Internet via votre routeur

❌ BAD: Port forwarding 8000 → Votre IP publique
✅ GOOD: Utiliser un tunnel sécurisé (Cloudflare, ngrok)

2. Partager les Tokens Publiquement

NE JAMAIS commiter .env dans Git ou partager les tokens

❌ BAD: git add .env && git push
✅ GOOD: Ajouter .env dans .gitignore

3. Exposition Sans HTTPS

NE JAMAIS exposer le serveur en HTTP non chiffré sur Internet

❌ BAD: http://mon-ip:8000 accessible publiquement
✅ GOOD: https://tunnel.example.com (Cloudflare Tunnel)

✅ Bonnes Pratiques de Sécurité

1. Utilisation Locale Uniquement (Recommandé)

La méthode la plus sûre : ne jamais exposer le serveur

✅ Serveur sur 127.0.0.1:8000
✅ Interfaces Gradio sur 127.0.0.1:7860
✅ Tout reste sur votre machine

Avantages :

Aucun risque d'accès externe
Pas de configuration réseau
Performance maximale

2. Tunnel Cloudflare (Si Accès Distant Nécessaire)

Cloudflare Tunnel fournit HTTPS automatique + protection DDoS

# Installation
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 -o cloudflared
chmod +x cloudflared
sudo mv cloudflared /usr/local/bin/

# Lancement du tunnel
cloudflared tunnel --url http://localhost:8000

Avantages :

HTTPS automatique (chiffrement)
Protection DDoS intégrée
Pas besoin d'ouvrir de ports
URL temporaire ou domaine custom

3. Variables d'Environnement Sécurisées

Toujours utiliser .env pour les secrets

# .env (JAMAIS dans Git)
MCP_API_KEY=votre-clé-générée-ici
WEBSOCKET_TOKEN=votre-token-websocket
COMFYUI_URL=http://127.0.0.1:8188

# .gitignore
.env
*.key
*.pem

4. Firewalling Local

Bloquer l'accès réseau au serveur MCP

# Linux (ufw)
sudo ufw deny 8000/tcp
sudo ufw allow from 127.0.0.1 to any port 8000

# Windows (PowerShell Admin)
New-NetFirewallRule -DisplayName "Block MCP External" `
    -Direction Inbound -LocalPort 8000 -Protocol TCP `
    -Action Block -RemoteAddress Any

🛡️ Niveaux de Sécurité par Méthode

Méthode	Sécurité	Recommandation
Gradio Local (Ollama)	🟢 Élevée	Parfait pour usage personnel
Gradio Local (Gemini)	🟢 Élevée	API Key Google à protéger
ChatGPT Desktop (local)	🟡 Moyenne	OK si 127.0.0.1 uniquement
Cloudflare Tunnel	🟡 Moyenne	Ajouter authentification custom
Port Forwarding Direct	🔴 Faible	❌ À ÉVITER ABSOLUMENT

🔍 Checklist de Sécurité

Avant de Démarrer

☐ Générer des clés uniques avec generate_key.py
☐ Vérifier que .env est dans .gitignore
☐ Serveur MCP écoute sur 127.0.0.1 (pas 0.0.0.0)
☐ Firewall local configuré si nécessaire

Utilisation Quotidienne

☐ Ne jamais partager l'URL du tunnel
☐ Fermer le tunnel quand non utilisé
☐ Vérifier les logs pour activités suspectes
☐ Régénérer les tokens périodiquement

Si Compromission Suspectée

☐ Arrêter immédiatement le serveur
☐ Régénérer toutes les clés (generate_key.py)
☐ Vérifier les workflows et custom nodes
☐ Analyser les logs /debug/health