Discussion :

[yotta]

Bonjour,

Je me pose la question suivante :
Lorsque l'on établi une connexion vers une base de données MySQL se trouvant sur un ordinateur A depuis un programme JAVA exécuté depuis un ordinateur B, le mot de passe est envoyé en clair sur le réseau, ou crypté ?!
En d'autre terme, si je snif ma carte réseau, et que j'effectue une telle connexion, est-ce que je trouverai un mot de passe clairement lisible, ou crypté ?!

Merci.

[yotta]

Désolé d'avoir encombré le site avec cette question franchement imbécile
J'ai sniffé mon réseau et trouvé réponse à ma question.
C'est malheureux à dire, mais oui... Le mot de passe est envoyé en clair sur le réseau.
Ca détruit un peut les efforts fait pour les stocker cryptés... dommage.
Cependant, je vais regarder cela de plus près je suppose qu'il existe un mode de connexion sécurisé...

[Exia_]

Bonsoir,

la seule question imbécile est celle que l'on ne pose pas

Cette question est intéressante du point de vue de la sécurité des applications, après avoir regardé dans la doc j'ai vue que l'on pouvait passer par du SSL pour se connecter à la BDD. Si tu trouves des choses intéressantes poste les ça pourra surement intéresser quelqu'un d'autre !

[yotta]

Ok,
J'ai fait le tour. D'après ce que j'ai compris, il y a plusieurs moyens de sécuriser la connexion et l'échange d'information grâce au cryptage SSL. Soit directement, géré depuis son code, ou a travers une connexion VPN type L2TP. Ce que je cherche à savoir, c'est s'il y a moyen de ne masquer que l'identité de connexion. Je n'ai pas besoin de confidentialité, seulement de sécurité. En d'autre termes, comme j'attribue des droits différents à deux utilisateurs génériques, un étant utilisé pour exploiter (uniquement lire) le système, l'autre pour administrer (donc lire et écrire). La sécurité est ensuite assumée par MySQL lui-même qui n'autorisera que la bonne identité à écrire. Et lorsque je mets en œuvre les technologies Java que je connais pour établir mes connexions avec mon serveur MySQL, je remarque qu'il est extrêmement simple de trouver le nom d'utilisateur et mot de passe utilisés par le programme, même si la 'liaison SSL' sécurise du point de vue réseau et élimine le problème de visibilité en clair dans les trames de l'identité. Simple dans le fait qu'il suffit d'ouvrir dans Notepad le fichier .class qui contient la méthode de connexion pour pouvoir lire en clair (même si ce ne sont pas de simple fichiers texte) le nom d'utilisateur et le mot de passe. Il reste la solution de démarrer l'application par une boîte de dialogue de type login, mais j'aimerai éviter cela. Je n'ai donc pas trouvé d'autre solution que de saisir le mot de passe dans le code source de mon programme, mot de passe parfaitement lisible avec Notepad même après compilation...
La seule parade, c'est que pour brouiller les pistes, au lieu de saisir une constante chaîne, je prends un papier et un crayon pour transformer mon mot de passe en codes ASCII que je stocke dans un byte[].

Quoi qu'il en soit, pour ce qui est de la sécurisation au niveau réseau, je me suis permis de rédiger un petit tutoriel, il vaut ce qu'il vaut c'est sans prétentions. Certains d'entre vous y trouverons certainement un intérêt.

Je reste ouvert à toute suggestion...