Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Oui, tout a fait, et dans mon cas, c'est suffisant. Je ne veux pas faire du piratage, mais juste me faciliter la vie de tous les jours. Ca me prend beaucoup de temps, mais beaucoup moins que d'attendre une réponse de l'utilisateur.Envoyé par dgi77
nb: Avec Oracle, je peux :
* sauvegarder le mot de passe crypté.
* Alter user xxx identified by 'toto';
* Connect xxx/toto
* je fais mes actions
* alter user xxx identified by values 'mot de passe crypté';
Sinon, Google--> Orabf
Voilà
c'est bien plus rapide... il me semble que c'est de l'ordre de 3 jours pour un password vraiment compliqué, les machines sont de + en + puissantes
tu peux même faire les actions APRES avoir remis l'ancien password, une fois que tu es connecté c'est pas un problème
Bon, orabf fait quelque chose comme 1 million de mots de passes par secondes. Ce qui est bien.c'est bien plus rapide... il me semble que c'est de l'ordre de 3 jours pour un password vraiment compliqué, les machines sont de + en + puissantes
Donc avec mon clavier je peux taper environ 100 charactères sans me fatiguer (de a-z, de 0-9, les accents, les caractères spéciaux). Donc avec 12 caractères ça me fait 100^12 donc 10^24. Avec 10^6 mdp par secondes, ca me fait 10^18 secondes. Environ 30 millards d'années. Et si ton processeur est 4 fois plus rapide que le mien tant mieux pour toi ;-)
sauf que tu n'es pas obligé de faire toutes les combinaisons... tu peut t'arrêter quand t'a trouvé
Sinon, effectivement, ça peut être long
c'est d'ailleurs pas pour rien que tous les systèmes dont la sécurité est basée sur un mot de passe ont un mécanisme qui peut imposer une certaine complexité.
Car l'exemple de Laurent est parfait. Même si tu as beaucoup de chance et que ne fais qu'une opération sur 1 milliard à chaque boucle, il te faudra quand même 30 ans !!!
En plus, si le profil est protégé avec lockage de 1 heure pour 3 tentatives infructueuses, quelle que soit la puissance de la machine, on ne pourra faire que 3 tests à l'heure...
Le mot de passe est donc sûr, si on se donne les moyens de le protéger (complexité, longueur + lock sur erreurs).
Après, il reste les identifications fortes avec certificats, cartes à puces, ... mais déjà, le mot de passe, c'est pas mal...
C'est vrai que le verrouillage du compte est une protection mais en même temps c'est un très bon moyen pour causer un déni de service
Consultant et formateur Oracle
faut savoir ce qui est le pire : un DoS ou une corruption/vol des données...
j'hésite pas longtemps !
Moi non plus ...faut savoir ce qui est le pire : un DoS ou une corruption/vol des données...
j'hésite pas longtemps !
Mais le monde n'est pas parfait malheureusement !
Consultant et formateur Oracle
on peut aussi envoyé un message dans alert.log en cas de lock d'un user afin qu'il soit analyser rapidement par le DBA... c'est un petit compris
Donc, la sécurité sur Oracle n'est pas si calamiteuse que ça, encore faut-il la mettre en place correctement...
Des chercheurs qui cherchent, on en trouve, mais des chercheurs qui trouvent, on en cherche !
Exactement.
Mais il est tout à fait possible de rendre une base oracle très sûre et très robuste, mais cela à un coût et complexifie le système...
==>Orafrance : tu fais comment pour tracer dans l'alert les locks automatiques de compte ???
ce qui est calamiteux c'est surtout les développeurs qui ont une application ALPHA avec un utilisateur ALPHA et un mot de passe ALPHA
le compte n'est pas au status LOCKED ?
Sinon, pour en revenir à la sécurité calamiteuse, le codage du user/password n'est malheureusement pas le problème le plus critique... il est par exemple possible de faire un update sans les droits d'update sur une table dans certaines conditions qui peuvent être imposée par l'appli.
Tu peux donner un exemple concret ?
Des chercheurs qui cherchent, on en trouve, mais des chercheurs qui trouvent, on en cherche !
http://www.xmcopartners.com/whitepap...or-oracle.html
http://www.lesnouvelles.net/articles...correctif.html
Note que je ne dis pas que c'est le pire... mais bien qu'Oracle est réputé comme n'étant pas doué pour la sécurité... d'où l'importance de sécuriser OS et réseauIl est à noter que 5 des 27 failles de la base de données sont exploitables à distance, sans nécessiter la moindre procédure d'authentification.
Il faut pondérer...
http://www.oracle.com/technology/dep...html#AppendixA
Tes 5 vulnérabiltés du CPU d'octobre qui ne nécessitent pas de comptes ont un score CVSS assez bas (i.e. risque faible)
Une seule s'applique au noyau (les autres, ce sont des options ou des configurations "exotiques" telles que GIOP)
Et le risque ne concerne que la disponibilité des données...
Et dire Oracle n'est pas fiable car ils sortent 4 correctifs de sécurité par an, c'est dire qu'il y a des failles c'est regarder par le mauvais bout.
AUCUN produit ne peut être sûr à 100%. Si l'éditeur ne livre pas de correctifs, c'est pas qu'il n'y a pas de problèmes, c'est qu'il n'a pas trouvé la solution !!!
PS : oui, le compte passe à LOCKED (TIME) en automatique, mais ça change quoi ? tu le trappes comment ce lockage ?
ouais enfin le problème PL/SQL me parait plus alarmant comme également la possibilité de faire un UPDATE d'une table via une vue même si tu n'as aucun droit en écriture... ces failles sont évidemment contournable mais c'est pas toujours simple en prod, surtout le code est wrappé ou que tu perds le support de l'éditeur de l'ERP si tu le modifies
tu peux faire un trigger éventuellement et je crois que OEM trappe ce type d'événement
PS : quand au score donné par l'éditeur... laisse moi le lire avec précaution pour ne pas dire... doute
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager