+ Répondre à la discussion
Affichage des résultats 1 à 14 sur 14
  1. #1
    Membre du Club Avatar de Djromé
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    171
    Détails du profil
    Informations personnelles :
    Localisation : Luxembourg

    Informations forums :
    Inscription : juillet 2009
    Messages : 171
    Points : 64
    Points
    64

    Par défaut Sécurité base de données

    Salut les Kracks,

    Au fil de mon amélioration dans la compréhension de bases de donnée basiques telles que propose MS OFFICE (access, excel), je voudrais savoir quel langage propose une meilleure sécurité ?
    Par exemple, si l'on développe un plan comptable sous Oracle, serait-il difficile à des employées mal intentionnés de pénétrer dans la base facilement? (software ou macro facilement trouvable sur le marché concernant MS office).

    N'hésitez pas à m'indiquer vos propres choix en la matière,

    Merci d'avance pour vos futurs opinions,
    Merci les kracks,

    Apprendre à un imbécile, c'est comme soigner un mort
    "alors avec moi, bon courage!"
    (дурака учить, что мертвого лечить, c'est plus beau en Russe!)

  2. #2

    Homme Profil pro
    Forumeur.
    Inscrit en
    octobre 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Forumeur.
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2012
    Messages : 16
    Points : -17
    Points
    -17

    Par défaut

    Je pense que tu n'es pas assez claire dans ta demande. Tout depend de ce que tu souhaite faire !

  3. #3
    Membre du Club Avatar de Djromé
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    171
    Détails du profil
    Informations personnelles :
    Localisation : Luxembourg

    Informations forums :
    Inscription : juillet 2009
    Messages : 171
    Points : 64
    Points
    64

    Par défaut

    Merci Vizion Z,

    En fait, je m'aperçois de plus en plus du côté "basic" d'access en terme de sécurité.
    Je souhaiterai donc développer un projet (comptable, à mettre en réseau, petite pme) et je m'interroge sur la voie à travailler pour développer et apprendre sur une application plus performante?
    Mais laquelle selon vous?

    J'espère être plus clair!
    Merci les kracks,

    Apprendre à un imbécile, c'est comme soigner un mort
    "alors avec moi, bon courage!"
    (дурака учить, что мертвого лечить, c'est plus beau en Russe!)

  4. #4

    Homme Profil pro
    Forumeur.
    Inscrit en
    octobre 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Forumeur.
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2012
    Messages : 16
    Points : -17
    Points
    -17

    Par défaut

    Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.

  5. #5
    Membre chevronné
    Profil pro
    Ingénieur sécurité
    Inscrit en
    février 2007
    Messages
    520
    Détails du profil
    Informations personnelles :
    Âge : 30
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : février 2007
    Messages : 520
    Points : 653
    Points
    653

    Par défaut

    Citation Envoyé par ViZiOnZ Voir le message
    Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.
    C'est n'importe quoi. La securite n'a en rien a voir avec le langage utilise.

    @Djromé : Ta demande est trop vague. Tu parles de securite au niveau du serveur de bdd ou au niveau de ton application?

  6. #6
    Expert Confirmé Sénior
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    1 769
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 769
    Points : 4 806
    Points
    4 806

    Par défaut

    Citation Envoyé par Expert sécurité informatique
    Déjà la base de la sécurité c'est du C++, car sans ça tu ne pourras pas structuré la sécurité que tu vas appliquer, après il faut que tu t'adaptes à un langage de sécurité sur long terme.
    Hallucinant de lire cela.
    Le langage n'a rien à voir avec une quelconque sécurité en plus ou en moins comme le dit dahtah.
    Au mieux il dispose juste de bibliothèques déjà à portée de main pour le développeur.

    Et si tu fais l'amalgame Java, par exemple, pas sécurisé comme langage en raison de faille dans la JVM (à un instant t) je crains pour l'institution qui te donne le titre d'expert sécurité...

    On mélange pas les poireaux avec les pneux usagés dans la casserole...
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  7. #7
    Membre expérimenté

    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    novembre 2009
    Messages
    377
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : novembre 2009
    Messages : 377
    Points : 563
    Points
    563

    Par défaut

    +1 demande assez vague

    +1 ViZiOnZ, tu dis n'importe quoi, en plus tu prends un langage qui est réputé pour laisser de la marge au développeur ce qui permet de faire pas mal d'erreur, induisant des failles (string format, buffer overflow...)

    Sinon, (en espérant répondre à la question comme je la comprend), la sécurité que tu va mettre en place dépendra peu du système que tu utilises. Que cela soit Oracle, Access ou un sqlite, ce sont des systèmes bien maintenu, et lorsqu'une faille est trouvé (et publié), les mise à jour suivent très bien, donc si tu maintiens ton système à jour tu auras peu de problèmes directement liée à ton logiciel de BD.

    Maintenant il faut que tu identifies les risques ou que tu nous en disent plus sur les méthodes d'accès à ta BD.

  8. #8
    Expert Confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2011
    Messages
    1 255
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 255
    Points : 2 570
    Points
    2 570

    Par défaut

    Citation Envoyé par transgohan Voir le message
    Et si tu fais l'amalgame Java, par exemple, pas sécurisé comme langage en raison de faille dans la JVM (à un instant t) je crains pour l'institution qui te donne le titre d'expert sécurité...
    J'avais pas fait attention au titre du profil ! Merci de l'avoir relevé.
    Si les experts sécurité sont comme ViZiOnZ, les hackers peuvent dormir sur leur 2 oreilles.

  9. #9
    Expert Confirmé Sénior
    Avatar de Loceka
    Inscrit en
    mars 2004
    Messages
    2 048
    Détails du profil
    Informations forums :
    Inscription : mars 2004
    Messages : 2 048
    Points : 4 054
    Points
    4 054

    Par défaut

    Citation Envoyé par dahtah Voir le message
    C'est n'importe quoi. La securite n'a en rien a voir avec le langage utilise.
    Citation Envoyé par transgohan Voir le message
    Le langage n'a rien à voir avec une quelconque sécurité en plus ou en moins comme le dit dahtah.
    C'est faux.

    La sécurité peut avoir à voir avec le langage utilisé.
    Certes dire que pour faire un truc sécurisé il faut coder en C++ c'est n'importe quoi. Beaucoup d'autre langages sont équivalents en termes de sécurité.

    Par contre il existe des langages qui, intrinséquement ne permettent pas d'assurer la sécurité.

    J'étais tombé sur cette page très intéressante qui explique en quoi il est impossible de blinder la sécurité lorsqu'on code en shell : http://www.tofe.org/suid.php3

    Mais il n'y a pas que le shell...
    Javascript ne permet pas non plus de faire du code sécurisé (en tout cas pas tant qu'il est exécuté côté client), PHP serait moins sécurisé que Java en étant utilisé comme langage serveur (là j'ai un doûte mais j'avais eu ça comme question d'entretien dans une boite de sécurité), etc.

  10. #10
    Membre chevronné
    Profil pro
    Ingénieur sécurité
    Inscrit en
    février 2007
    Messages
    520
    Détails du profil
    Informations personnelles :
    Âge : 30
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : février 2007
    Messages : 520
    Points : 653
    Points
    653

    Par défaut

    Citation Envoyé par Loceka Voir le message
    C'est faux.

    La sécurité peut avoir à voir avec le langage utilisé.
    Certes dire que pour faire un truc sécurisé il faut coder en C++ c'est n'importe quoi. Beaucoup d'autre langages sont équivalents en termes de sécurité.

    Par contre il existe des langages qui, intrinséquement ne permettent pas d'assurer la sécurité.
    Non, je maintiens, c'est incorrect. Un langage peut plus pu moins faciliter et aider le programmeur a coder de maniere securisee, mais un langage en soit n'a rien a voir avec la secuite. Tout depend de l'implementation.
    Le langage C par example, implemete de facon correcte peut etre sur, mais l'implementation est plus difficile comme mentionne par manticore (bof, use-after-free...)
    Citation Envoyé par Loceka Voir le message
    J'étais tombé sur cette page très intéressante qui explique en quoi il est impossible de blinder la sécurité lorsqu'on code en shell : http://www.tofe.org/suid.php3
    La page que tu cites, montres comment eviter les pieges d'implementation d'un programme SUID en shell. C'est tres different. SUID veut dire que deja ton programme va tourner avec des privileges eleves, et tous les points mentionnes visent a programmer de maniere securisee afin d'eviter qu'une erreur se transforme en escalation de privilege. Une fois de plus c'est une histoire d'implementation par le programmeur, pas le langage lui meme.
    Apres que programmer un programme SUID en shell ne soit pas une bonne idee c'est une autre histoire (et ce n'est effectivement pas une bonne idee )

    Citation Envoyé par Loceka Voir le message
    Javascript ne permet pas non plus de faire du code sécurisé (en tout cas pas tant qu'il est exécuté côté client)
    Ca c'est different. Justement, vu que Javascript tourne cote client et que tu controles ce client, tu controles la logique sortante du programme. C'est pour ca que tout le code critique d'une qppli web est implementee/verifiee cote serveur. Mais c'est une propriete du langage qui que tout le monde connait .
    Citation Envoyé par Loceka Voir le message
    , PHP serait moins sécurisé que Java en étant utilisé comme langage serveur (là j'ai un doûte mais j'avais eu ça comme question d'entretien dans une boite de sécurité), etc.
    Et ca c'est faux. Encore quelque chose qui a a voir avec l'implementation. Les 2 langages ne se valent pas a un instant t, car ils ont chacun des failles respectives plus ou moins graves. Mais ca c'est propre a toute application/langage.

  11. #11
    Expert Confirmé Sénior

    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    2 606
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 2 606
    Points : 4 186
    Points
    4 186

    Par défaut sécurité

    Rien n'est complètement sécure.

    Prenons l''exemple du langage C, supposons que c'est un langage sûr. Ce langage comme tout autre appelle des bibliothèques système, qui elles mêmes sont bourrés de failles corrigés ou non ( patchs existant mais non installés, failles non encore connues ). A chaque fois qu'un nouveau système sort, il est "plus sécurisé", en attendant, il y a toujours des failles ( plus ou moins graves ).

    Comment je conçois la sécurité, qui n'est pas mon métier. Je vois ça comme la sécurisation de son logement. rien ne sers de mettre une porte blindée si il suffit de démonter des tuiles pour rentrer par le toit. D'ailleurs la sécurité des portes blindées est mesuré non pas par leur capacité à résister ou non à une effraction mais par le temps qu'il faut pour y arriver.

    C'est une question de détermination, donc d'interêts pour les données, de risque de se faire prendre ...

    A savoir que pour une base Access, tu peux déjà utiliser un fichier .mdw qui va déjà bloquer pas mal de gens. Après, tu peux utiliser Terminal server, la base est ouverte dans une cession distante, ça rajoute une couche de complexité, mais aussi une couche tarifaire.

    Après si tu passes sur Oracle, cela demande 1 niveau de compétences supérieur pour cracker mais aussi pour developper/maintenir le produit, donc ton budget ne sera pas le même. Tu peux aussi aller vers SAP ( communauté réduite par le côut de SAP, donc le nombre de gens ayant des capacités SAP est réduit, mais là c'était une plaisanterie, ça n'est pas adapté à ton besoin, c'est pour les grandes structures )

    Tes éventuelles failles viendront plus de la mauvaise utilisation du produit que du produit lui-même. Et évidement il y a des failles et on en découvrira encore ...

    L'idée étant d'avoir un compromis acceptable au niveau risque sécurité, coût de développement mais aussi de maintenance.

    Mais c'est déjà pas mal de se poser la question avant de commencer. Un exemple de gros prob de sécurité, les mots de passe laissés sur des post-it sur l'écran ou à coté, je vois ça tous les jours dans le cadre de mon boulot et là tu peux investir des millions ...

    La sécurité coûte très chère, et pour un résultat relatif ..;

    La meilleure solution :
    ne pas développer dans l'urgence
    la rigueur
    la compétence
    le bon sens

    enfin c'est pas facile ....

  12. #12
    Membre du Club Avatar de Djromé
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    171
    Détails du profil
    Informations personnelles :
    Localisation : Luxembourg

    Informations forums :
    Inscription : juillet 2009
    Messages : 171
    Points : 64
    Points
    64

    Par défaut

    Merci beaucoup Chrtophe pour tes explications qui répondent bien à mes questions et merci à vous tous pour avoir pris la peine de m'aiguiller,

    Mon idée de base est que beaucoup de petites PME peuvent s'affranchir de coûteuses applications par le biais d'un développement plus poussé de leurs base de données actuelles (ou tableur).
    Mais faute de connaissances avancées (VBA, SQL), elles se dirigent justement vers des programmes plus onéreux et notamment par crainte sur la protection des données (argument très fort).
    Je souhaitai donc par ces questions essayer de répondre à ses interrogations en vous demandant sous quel langage vous développeriez des bases de données apportant une sécurité "acceptable", comme tu l'a si bien dit!

    Encore merci!

    Merci les kracks,

    Apprendre à un imbécile, c'est comme soigner un mort
    "alors avec moi, bon courage!"
    (дурака учить, что мертвого лечить, c'est plus beau en Russe!)

  13. #13
    Expert Confirmé Sénior
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    1 769
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 769
    Points : 4 806
    Points
    4 806

    Par défaut

    Citation Envoyé par Djromé Voir le message
    Je souhaitai donc par ces questions essayer de répondre à ses interrogations en vous demandant sous quel langage vous développeriez des bases de données apportant une sécurité "acceptable", comme tu l'a si bien dit!

    Encore merci!

    La réponse est simple : le langage qui est le mieux maîtrisé par l'équipe de développeur pour éviter les failles injectées par eux dans le code.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  14. #14
    Membre expérimenté

    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    novembre 2009
    Messages
    377
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : novembre 2009
    Messages : 377
    Points : 563
    Points
    563

    Par défaut

    Je pense que si tu as vraiment des craintes à ce niveau la, tu peux demander un audit de sécurité une fois ton application déployé afin de valider le déploiement.

    Mais le langage n'est pas déterminant à ce niveau-ci. Les problèmes viennent de l'implémentation.

+ Répondre à la discussion
Cette discussion est résolue.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •