Discussion :

[olive.m]

Bonjour,

je suis en train de realiser une appli web où les utilisateurs doivent se connecter.

Pour la connection je me sers directement des utilisateurs mysql (mysql.user). Les comptes sont donc en fait des comptes mysql.

Seulement voila je voudrais ajouter un peu de securité.

En effet, pour l'instant le mot de passe circule en clair sur le reseau.

Je vais donc encrypter ce mot de passe (md5). Seulement comment va faire mysql pour savoir qu'il s'agit du bon mot de passe vu qu'il est encrypter?

Alors je me demandais s'il existait une fonction pour dire a mysql de comparer les password avec md5, ou autre.

Je sais pas si j'ai été très clair...

Si vous avez des questions, n'hesitez pas

merci et @+

[m@]

Lorsque vous vous connectez à MySQL, vous devriez avoir besoin d'un mot de passe. Ce mot de passe n'est pas transmis en texte clair sur le réseau, mais comme l'algorithme de chiffrement n'est pas très fort, quelques efforts permettront à un pirate d'obtenir votre mot de passe s'il est capable de surveiller le trafic entre le client et le serveur. Si la connexion entre le client et le serveur utilise des réseaux non fiables, il est alors recommandé d'utiliser un tunnel SSH.

cordialement

[olive.m]

Merci m@ mais je pense ne pas avoir bien posé ma question.

Je crée ma connection via les jsp et donc via les classes java.

le fait est que donc j'envoie le mot de passe encodé a mysql.
Sous oracle tu peux dire a la bdd :" voila le mot de passe, fais gaffe il est encodé en md5!".

Je voulais savoir si c'etait possible sous mysql!

merci

[m@]

non, pas à ma connaissance, d'ailleurs avec ce système le mot de passe chiffré avec md5 est le vrai mot de passe, et son interception permet de se connecter.

[olive.m]

hum, tu as raison.

dis tu n'aurais pas une idée?

j'ai u un post tres long dont tu étais l'un des principaux protagoniste. Seulement c'était basé sur internet. Mon cas est en intranet.

[m@]

je ne connais pas java, et je crains de ne pas pouvoir t'être d'un grand secours...
après, si tu es en intranet, le risque auquel tu es exposé est du sniffing par un des employés.
si ça te semble probable, alors c'est toujours HTTPS qui te permettra de t'en protéger, mais est-ce nécessaire ?

question : JSP est serveur, non ?
donc le mot de passe est en clair jusqu'au serveur web, puis est crypté automatiquement jusqu'au serveur MySQL ?

dans ce cas, tu peux crypter le mot de passe chez le client, le décrypter sur ton serveur puis l'envoyer à MySQL

cordialement

[olive.m]

Tout d'abord merci m@.
Je pense que je vais faire cela.

Il n'y a pas de grand risque q'un employé sniffe les paquets. mais tu sais avec l'arrivée du wifi je me mefie un peu...

Sinon pour le decryptage encryptage, tu as un algo a me conseiller, je connais un peu rsa mais bon...

[m@]

si ton intranet est en wifi, c'est vrai que c'est + expo.
niveau algo, si tu peux RSA est nickel.

[olive.m]

Ok je fais faire comme ca.

merci m@