Connexion mysql [Résolu]

olive.m · 18/06/2004, 12h32

Bonjour,

je suis en train de realiser une appli web où les utilisateurs doivent se connecter.

Pour la connection je me sers directement des utilisateurs mysql (mysql.user). Les comptes sont donc en fait des comptes mysql.

Seulement voila je voudrais ajouter un peu de securité.

En effet, pour l'instant le mot de passe circule en clair sur le reseau.

Je vais donc encrypter ce mot de passe (md5). Seulement comment va faire mysql pour savoir qu'il s'agit du bon mot de passe vu qu'il est encrypter?

Alors je me demandais s'il existait une fonction pour dire a mysql de comparer les password avec md5, ou autre.

Je sais pas si j'ai été très clair...

Si vous avez des questions, n'hesitez pas

merci et @+

m@ · 18/06/2004, 13h44

Citation:

Envoyé par manuel MySQL chapitre 4.2.2

Lorsque vous vous connectez à MySQL, vous devriez avoir besoin d'un mot de passe. Ce mot de passe n'est pas transmis en texte clair sur le réseau, mais comme l'algorithme de chiffrement n'est pas très fort, quelques efforts permettront à un pirate d'obtenir votre mot de passe s'il est capable de surveiller le trafic entre le client et le serveur. Si la connexion entre le client et le serveur utilise des réseaux non fiables, il est alors recommandé d'utiliser un tunnel SSH.

cordialement

olive.m · 18/06/2004, 14h05

Merci m@ mais je pense ne pas avoir bien posé ma question.

Je crée ma connection via les jsp et donc via les classes java.

le fait est que donc j'envoie le mot de passe encodé a mysql.
Sous oracle tu peux dire a la bdd :" voila le mot de passe, fais gaffe il est encodé en md5!".

Je voulais savoir si c'etait possible sous mysql!

merci

m@ · 18/06/2004, 14h19

non, pas à ma connaissance, d'ailleurs avec ce système le mot de passe chiffré avec md5 est le vrai mot de passe, et son interception permet de se connecter.

olive.m · 18/06/2004, 15h51

hum, tu as raison.

dis tu n'aurais pas une idée?

j'ai u un post tres long dont tu étais l'un des principaux protagoniste. Seulement c'était basé sur internet. Mon cas est en intranet.

m@ · 18/06/2004, 16h17

je ne connais pas java, et je crains de ne pas pouvoir t'être d'un grand secours...
après, si tu es en intranet, le risque auquel tu es exposé est du sniffing par un des employés.
si ça te semble probable, alors c'est toujours HTTPS qui te permettra de t'en protéger, mais est-ce nécessaire ?

question : JSP est serveur, non ?
donc le mot de passe est en clair jusqu'au serveur web, puis est crypté automatiquement jusqu'au serveur MySQL ?

dans ce cas, tu peux crypter le mot de passe chez le client, le décrypter sur ton serveur puis l'envoyer à MySQL

cordialement

olive.m · 18/06/2004, 16h24

Tout d'abord merci m@.
Je pense que je vais faire cela.

Il n'y a pas de grand risque q'un employé sniffe les paquets. mais tu sais avec l'arrivée du wifi je me mefie un peu...

Sinon pour le decryptage encryptage, tu as un algo a me conseiller, je connais un peu rsa mais bon...

m@ · 18/06/2004, 16h55

si ton intranet est en wifi, c'est vrai que c'est + expo.
niveau algo, si tu peux RSA est nickel.

olive.m · 18/06/2004, 17h44

Ok je fais faire comme ca.

merci m@

18/06/2004, 12h32	#1
olive.m Membre régulier Inscription : novembre 2002 Messages : 162 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 162 Points : 80 Points : 80	Connexion mysql Bonjour, je suis en train de realiser une appli web où les utilisateurs doivent se connecter. Pour la connection je me sers directement des utilisateurs mysql (mysql.user). Les comptes sont donc en fait des comptes mysql. Seulement voila je voudrais ajouter un peu de securité. En effet, pour l'instant le mot de passe circule en clair sur le reseau. Je vais donc encrypter ce mot de passe (md5). Seulement comment va faire mysql pour savoir qu'il s'agit du bon mot de passe vu qu'il est encrypter? Alors je me demandais s'il existait une fonction pour dire a mysql de comparer les password avec md5, ou autre. Je sais pas si j'ai été très clair... Si vous avez des questions, n'hesitez pas merci et @+
	00

18/06/2004, 14h19	#4
m@ Membre habitué Inscription : janvier 2004 Messages : 143 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 143 Points : 139 Points : 139	non, pas à ma connaissance, d'ailleurs avec ce système le mot de passe chiffré avec md5 est le vrai mot de passe, et son interception permet de se connecter. __________________ Si vous fermez la porte à toutes les erreurs, la vérité restera dehors. (Tagore) Mandrake 10.1 up to date OpenBSD 3.5 Win XP SP 2
	00

18/06/2004, 16h17	#6
m@ Membre habitué Inscription : janvier 2004 Messages : 143 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 143 Points : 139 Points : 139	je ne connais pas java, et je crains de ne pas pouvoir t'être d'un grand secours... après, si tu es en intranet, le risque auquel tu es exposé est du sniffing par un des employés. si ça te semble probable, alors c'est toujours HTTPS qui te permettra de t'en protéger, mais est-ce nécessaire ? question : JSP est serveur, non ? donc le mot de passe est en clair jusqu'au serveur web, puis est crypté automatiquement jusqu'au serveur MySQL ? dans ce cas, tu peux crypter le mot de passe chez le client, le décrypter sur ton serveur puis l'envoyer à MySQL cordialement __________________ Si vous fermez la porte à toutes les erreurs, la vérité restera dehors. (Tagore) Mandrake 10.1 up to date OpenBSD 3.5 Win XP SP 2
	00

18/06/2004, 16h55	#8
m@ Membre habitué Inscription : janvier 2004 Messages : 143 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 143 Points : 139 Points : 139	si ton intranet est en wifi, c'est vrai que c'est + expo. niveau algo, si tu peux RSA est nickel. __________________ Si vous fermez la porte à toutes les erreurs, la vérité restera dehors. (Tagore) Mandrake 10.1 up to date OpenBSD 3.5 Win XP SP 2
	00

18/06/2004, 14h05	#3
olive.m Membre régulier Inscription : novembre 2002 Messages : 162 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 162 Points : 80 Points : 80	Merci m@ mais je pense ne pas avoir bien posé ma question. Je crée ma connection via les jsp et donc via les classes java. le fait est que donc j'envoie le mot de passe encodé a mysql. Sous oracle tu peux dire a la bdd :" voila le mot de passe, fais gaffe il est encodé en md5!". Je voulais savoir si c'etait possible sous mysql! merci
	00

18/06/2004, 15h51	#5
olive.m Membre régulier Inscription : novembre 2002 Messages : 162 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 162 Points : 80 Points : 80	hum, tu as raison. dis tu n'aurais pas une idée? j'ai u un post tres long dont tu étais l'un des principaux protagoniste. Seulement c'était basé sur internet. Mon cas est en intranet.
	00

18/06/2004, 16h24	#7
olive.m Membre régulier Inscription : novembre 2002 Messages : 162 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 162 Points : 80 Points : 80	Tout d'abord merci m@. Je pense que je vais faire cela. Il n'y a pas de grand risque q'un employé sniffe les paquets. mais tu sais avec l'arrivée du wifi je me mefie un peu... Sinon pour le decryptage encryptage, tu as un algo a me conseiller, je connais un peu rsa mais bon...
	00

18/06/2004, 17h44	#9
olive.m Membre régulier Inscription : novembre 2002 Messages : 162 Détails du profil Informations forums : Inscription : novembre 2002 Messages : 162 Points : 80 Points : 80	Ok je fais faire comme ca. merci m@
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email