Discussion :

[Djromé]

Salut les Kracks,

Au fil de mon amélioration dans la compréhension de bases de donnée basiques telles que propose MS OFFICE (access, excel), je voudrais savoir quel langage propose une meilleure sécurité ?
Par exemple, si l'on développe un plan comptable sous Oracle, serait-il difficile à des employées mal intentionnés de pénétrer dans la base facilement? (software ou macro facilement trouvable sur le marché concernant MS office).

N'hésitez pas à m'indiquer vos propres choix en la matière,

Merci d'avance pour vos futurs opinions,

[ViZiOnZ]

Je pense que tu n'es pas assez claire dans ta demande. Tout depend de ce que tu souhaite faire !

[Djromé]

Merci Vizion Z,

En fait, je m'aperçois de plus en plus du côté "basic" d'access en terme de sécurité.
Je souhaiterai donc développer un projet (comptable, à mettre en réseau, petite pme) et je m'interroge sur la voie à travailler pour développer et apprendre sur une application plus performante?
Mais laquelle selon vous?

J'espère être plus clair!

[ViZiOnZ]

Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.

[dahtah]

Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.

C'est n'importe quoi. La securite n'a en rien a voir avec le langage utilise.

@Djromé : Ta demande est trop vague. Tu parles de securite au niveau du serveur de bdd ou au niveau de ton application?

[transgohan]

Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.

Hallucinant de lire cela.
Le langage n'a rien à voir avec une quelconque sécurité en plus ou en moins comme le dit dahtah.
Au mieux il dispose juste de bibliothèques déjà à portée de main pour le développeur.

Et si tu fais l'amalgame Java, par exemple, pas sécurisé comme langage en raison de faille dans la JVM (à un instant t) je crains pour l'institution qui te donne le titre d'expert sécurité...

On mélange pas les poireaux avec les pneux usagés dans la casserole...

[manticore]

+1 demande assez vague

+1 ViZiOnZ, tu dis n'importe quoi, en plus tu prends un langage qui est réputé pour laisser de la marge au développeur ce qui permet de faire pas mal d'erreur, induisant des failles (string format, buffer overflow...)

Sinon, (en espérant répondre à la question comme je la comprend), la sécurité que tu va mettre en place dépendra peu du système que tu utilises. Que cela soit Oracle, Access ou un sqlite, ce sont des systèmes bien maintenu, et lorsqu'une faille est trouvé (et publié), les mise à jour suivent très bien, donc si tu maintiens ton système à jour tu auras peu de problèmes directement liée à ton logiciel de BD.

Maintenant il faut que tu identifies les risques ou que tu nous en disent plus sur les méthodes d'accès à ta BD.

[mala92]

Et si tu fais l'amalgame Java, par exemple, pas sécurisé comme langage en raison de faille dans la JVM (à un instant t) je crains pour l'institution qui te donne le titre d'expert sécurité...

J'avais pas fait attention au titre du profil ! Merci de l'avoir relevé.
Si les experts sécurité sont comme ViZiOnZ, les hackers peuvent dormir sur leur 2 oreilles.

[Loceka]

C'est n'importe quoi. La securite n'a en rien a voir avec le langage utilise.

Le langage n'a rien à voir avec une quelconque sécurité en plus ou en moins comme le dit dahtah.

C'est faux.

La sécurité peut avoir à voir avec le langage utilisé.
Certes dire que pour faire un truc sécurisé il faut coder en C++ c'est n'importe quoi. Beaucoup d'autre langages sont équivalents en termes de sécurité.

Par contre il existe des langages qui, intrinséquement ne permettent pas d'assurer la sécurité.

J'étais tombé sur cette page très intéressante qui explique en quoi il est impossible de blinder la sécurité lorsqu'on code en shell : http://www.tofe.org/suid.php3

Mais il n'y a pas que le shell...
Javascript ne permet pas non plus de faire du code sécurisé (en tout cas pas tant qu'il est exécuté côté client), PHP serait moins sécurisé que Java en étant utilisé comme langage serveur (là j'ai un doûte mais j'avais eu ça comme question d'entretien dans une boite de sécurité), etc.

[dahtah]

C'est faux.

La sécurité peut avoir à voir avec le langage utilisé.
Certes dire que pour faire un truc sécurisé il faut coder en C++ c'est n'importe quoi. Beaucoup d'autre langages sont équivalents en termes de sécurité.

Par contre il existe des langages qui, intrinséquement ne permettent pas d'assurer la sécurité.

Non, je maintiens, c'est incorrect. Un langage peut plus pu moins faciliter et aider le programmeur a coder de maniere securisee, mais un langage en soit n'a rien a voir avec la secuite. Tout depend de l'implementation.
Le langage C par example, implemete de facon correcte peut etre sur, mais l'implementation est plus difficile comme mentionne par manticore (bof, use-after-free...)

J'étais tombé sur cette page très intéressante qui explique en quoi il est impossible de blinder la sécurité lorsqu'on code en shell : http://www.tofe.org/suid.php3

La page que tu cites, montres comment eviter les pieges d'implementation d'un programme SUID en shell. C'est tres different. SUID veut dire que deja ton programme va tourner avec des privileges eleves, et tous les points mentionnes visent a programmer de maniere securisee afin d'eviter qu'une erreur se transforme en escalation de privilege. Une fois de plus c'est une histoire d'implementation par le programmeur, pas le langage lui meme.
Apres que programmer un programme SUID en shell ne soit pas une bonne idee c'est une autre histoire (et ce n'est effectivement pas une bonne idee )

Javascript ne permet pas non plus de faire du code sécurisé (en tout cas pas tant qu'il est exécuté côté client)

Ca c'est different. Justement, vu que Javascript tourne cote client et que tu controles ce client, tu controles la logique sortante du programme. C'est pour ca que tout le code critique d'une qppli web est implementee/verifiee cote serveur. Mais c'est une propriete du langage qui que tout le monde connait .

, PHP serait moins sécurisé que Java en étant utilisé comme langage serveur (là j'ai un doûte mais j'avais eu ça comme question d'entretien dans une boite de sécurité), etc.

Et ca c'est faux. Encore quelque chose qui a a voir avec l'implementation. Les 2 langages ne se valent pas a un instant t, car ils ont chacun des failles respectives plus ou moins graves. Mais ca c'est propre a toute application/langage.

[chrtophe]

Rien n'est complètement sécure.

Prenons l''exemple du langage C, supposons que c'est un langage sûr. Ce langage comme tout autre appelle des bibliothèques système, qui elles mêmes sont bourrés de failles corrigés ou non ( patchs existant mais non installés, failles non encore connues ). A chaque fois qu'un nouveau système sort, il est "plus sécurisé", en attendant, il y a toujours des failles ( plus ou moins graves ).

Comment je conçois la sécurité, qui n'est pas mon métier. Je vois ça comme la sécurisation de son logement. rien ne sers de mettre une porte blindée si il suffit de démonter des tuiles pour rentrer par le toit. D'ailleurs la sécurité des portes blindées est mesuré non pas par leur capacité à résister ou non à une effraction mais par le temps qu'il faut pour y arriver.

C'est une question de détermination, donc d'interêts pour les données, de risque de se faire prendre ...

A savoir que pour une base Access, tu peux déjà utiliser un fichier .mdw qui va déjà bloquer pas mal de gens. Après, tu peux utiliser Terminal server, la base est ouverte dans une cession distante, ça rajoute une couche de complexité, mais aussi une couche tarifaire.

Après si tu passes sur Oracle, cela demande 1 niveau de compétences supérieur pour cracker mais aussi pour developper/maintenir le produit, donc ton budget ne sera pas le même. Tu peux aussi aller vers SAP ( communauté réduite par le côut de SAP, donc le nombre de gens ayant des capacités SAP est réduit, mais là c'était une plaisanterie, ça n'est pas adapté à ton besoin, c'est pour les grandes structures )

Tes éventuelles failles viendront plus de la mauvaise utilisation du produit que du produit lui-même. Et évidement il y a des failles et on en découvrira encore ...

L'idée étant d'avoir un compromis acceptable au niveau risque sécurité, coût de développement mais aussi de maintenance.

Mais c'est déjà pas mal de se poser la question avant de commencer. Un exemple de gros prob de sécurité, les mots de passe laissés sur des post-it sur l'écran ou à coté, je vois ça tous les jours dans le cadre de mon boulot et là tu peux investir des millions ...

La sécurité coûte très chère, et pour un résultat relatif ..;

La meilleure solution :
ne pas développer dans l'urgence
la rigueur
la compétence
le bon sens

enfin c'est pas facile ....

[Djromé]

Merci beaucoup Chrtophe pour tes explications qui répondent bien à mes questions et merci à vous tous pour avoir pris la peine de m'aiguiller,

Mon idée de base est que beaucoup de petites PME peuvent s'affranchir de coûteuses applications par le biais d'un développement plus poussé de leurs base de données actuelles (ou tableur).
Mais faute de connaissances avancées (VBA, SQL), elles se dirigent justement vers des programmes plus onéreux et notamment par crainte sur la protection des données (argument très fort).
Je souhaitai donc par ces questions essayer de répondre à ses interrogations en vous demandant sous quel langage vous développeriez des bases de données apportant une sécurité "acceptable", comme tu l'a si bien dit!

Encore merci!

[transgohan]

Je souhaitai donc par ces questions essayer de répondre à ses interrogations en vous demandant sous quel langage vous développeriez des bases de données apportant une sécurité "acceptable", comme tu l'a si bien dit!

Encore merci!

La réponse est simple : le langage qui est le mieux maîtrisé par l'équipe de développeur pour éviter les failles injectées par eux dans le code.

[manticore]

Je pense que si tu as vraiment des craintes à ce niveau la, tu peux demander un audit de sécurité une fois ton application déployé afin de valider le déploiement.

Mais le langage n'est pas déterminant à ce niveau-ci. Les problèmes viennent de l'implémentation.