Discussion :

[sp2308]

Bonjour

Je dois faire communiquer delphi avec une page php via indy afin de tester l enregistrement de l appli et donc limiter ses possibilités d emploi: pas de pb !

Je communique donc de delphi vers un espace protege par htaccess avec un Tidhttp là encore pas de pb

Mais le pb est que j imagine qu en explorant l exe on peut voir les identifiants de connexion (idhttp.username et .password)

Donc ma question : est-ce possible ?

Si oui comment y remedier ?

Je suis ouvert à tout proposition....

merci de votre aide

[Paul TOTH]

user et password ne servent à rien dans ce cas, surtout sur de l'authentification Basic qui laisse par le mot de passe en clair.

Tu dois envoyer des données cryptées (ou tout au moins encodées) afin qu'il ne soit pas possible de les interpréter (sauf à analyser le code de ton application).

[sp2308]

merci pour ta réponse.

Justement je n arrive pas à comprendre un point.

Si j adresse des données cryptées en etudiant le code on peut les decrypter, si j adresse des données 'en clair' (user, passe(md5)) à un rep protegé, on peut voir les identifiants...

Quelle est donc la difference ?

[jeromelef2]

merci pour ta réponse.

Justement je n arrive pas à comprendre un point.

Si j adresse des données cryptées en etudiant le code on peut les decrypter,
...

pas forcément.
si tu stockes dans ton fichier ini par exemple, le mot de passe déjà encrypter, tu n'a pas besoin de l'encrypter et donc nulle part dans ton code il y aura un algo qui permettrait de faire du reverse engenering

exemple :
tu sais que ton mot de passe, c'est : 'test123', celui-ci après encryptage deviens 'tetrtrtrtrt', personne ne peut retrouver 'test123' (mais je ne pense pas que c'est ce que tu voulais).
je pense que ceux que tu souhaites, c'est que l'on ne puisse pas le voir avec un reshacker ou decompileur, mais là, je te dis que c'est presque impossible.
il y aura toujours un moment un registre avec ton mot de passe de renseigné surtout au moment ou tu appellera/utilisera ton authentification.

merci pour ta réponse.

Justement je n arrive pas à comprendre un point.

si j adresse des données 'en clair' (user, passe(md5)) à un rep protegé, on peut voir les identifiants...

pas avec une connexion https

[Paul TOTH]

un hacker déterminé pourra toujours faire sauter les protections de ton soft, l'industrie du jeu vidéo qui pourtant a tout essayé n'a jamais réussit à éradiquer le piratage

par contre tu peux mettre en place quelques sécurités pour décourager le plus grand nombre sans y passer des nuits blanches.

un bête encodage XOR ne fera pas long feu devant un hacker expérimenté mais désorientera un hacker du dimanche...alors qu'un mot de passe HTTP indique de part son fonctionnement où il faut aller chercher l'info.

[sp2308]

Merci pour ces precisions

un bête encodage XOR ne fera pas long feu devant un hacker expérimenté mais désorientera un hacker du dimanche...alors qu'un mot de passe HTTP indique de part son fonctionnement où il faut aller chercher l'info.

Je vais passer par une page intermediaire qui decryptera et redirigera vers le rep en .htaccess