Discussion :

[tiamat59]

Bonjour,

J'ai mis en place sur la connexion a ma base de données le ssl car le serveur apache et la base sont sur des serveur différent (serveur debian).
avec le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$this->db_ssluser, $this->db_pass, null, MYSQL_CLIENT_SSL);

Tout fonctionne apparemment.

Mais j'aurais aimer savoir comment vérifier que cela est bien crypter et ne passe plus en clair.

Je pense que l'on va m'envoyer bouler si je demande un logiciel pour sniffer les paquets pour voir la différence quand j'active et désactive, mais je demande quand même (avec wiresharck on peut faire sa?).

Sinon y a t'il quelque part des logs qui valide la connexion ssl que je soit certain de ma sécurité.

Merci d'avance

[franquis]

Salut!
Pour les logs, honnêtement, je n'en sait rien.
Cependant Wireshark répondra parfaitement à tes attentes pour analyser les échanges entre ton client et ta BDD!

[tiamat59]

OK merci pour ta réponse.

Mais si je ne me trompe pas, il faut que je mette le wireshark sur mon serveur apache, pas sur mon poste perso?

sa exitste wireshark pour linux (mode console)?

[franquis]

Oui en effet, tu dois capturer le trafic entre ton serveur Web et ton serveur de BDD.

Wireshark existe en console sous le nom de TShark.

L'objectif étant par exemple de capturer le trafic avec TShark, qui générera un fichier .cap que tu pourras analyser tranquillement avec Wireshark sur ton PC perso...

[tiamat59]

ok je vais tester cela.

Sinon en essayant wireshark sur mon pc local et en testant la connexion, je viens de me rendre compte que le champs input type password passe en clair.
n'y a t'il pas moyen de crypter cette envoi?
Je le crypte ensuite (ou plutot hash avec md5 et mot de passe).
je n'ai pas trouver d'info la dessus.
Cela veut dire que par exemple si je me log sur un forum (sans https) quelqu'un peu sniffer l'adresse IP du forum et voir passer tout les mot de passe en clair?

[stealth35]

Cela veut dire que par exemple si je me log sur un forum (sans https) quelqu'un peu sniffer l'adresse IP du forum et voir passer tout les mot de passe en clair?

et oui

[tiamat59]

ok.
C'est vrai que je ni avait jamais penser, mais dans mon esprit un input type password ne passait pas en clair.
Le fait de le crypter après pour l'ajout dans la base de donnée n'a plus réellement de sens sauf pour sécurisé dans le cas ou la base est pirater, mais quand on voit que l'on peu l'avoir aussi facilement a chaque connexion...

Bon aller je vais mettre du https partout

[tiamat59]

Bon sinon pour revenir au sujet principal qui était de vérifier ma connexion entre apache et mysql en ssl.

J'ai essayé d'installer Tshark mais j'ai des messages d'erreur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Impossible de récupérer http://ftp.fr.debian.org/debian/pool/main/libx/libxfixes/libxfixes3_4.0.1-5_i386.deb  404 Not Found
Impossible de récupérer http://ftp.fr.debian.org/debian/pool/main/libx/libxrender/libxrender1_0.9.1-3_i386.deb  404 Not Found
Impossible de récupérer http://ftp.fr.debian.org/debian/pool/main/x/xft/libxft2_2.1.8.2-8_i386.deb  404 Not Found
Impossible de récupérer http://ftp.fr.debian.org/debian/pool/main/a/adns/libadns1_1.4-0.1_i386.deb  404 Not Found

Je re-essayerai demain.

[franquis]

Sinon en essayant wireshark sur mon pc local et en testant la connexion, je viens de me rendre compte que le champs input type password passe en clair.
n'y a t'il pas moyen de crypter cette envoi

Le seul moyen de chiffrer l'envoi de tes données est bien l'HTTPS. Cependant, pour limiter un peu la visibilité des données pour un novice qui chercherait à faire ses crocs en écoutant ton réseau, tu peux toujours utiliser du javascript dans ta page HTML pour encoder tes champs en Base64 (testé) ou en SHA (non testé)...

C'est certes un peu olé olé, surtout si javascript est désactivé (il faut gérer les deux cas de figures dans ton fichier php du coup).