[ASE] Connexion sécurisée - Password

yousky · 26/01/2007, 14h58

Bonjour tout le monde,

Dans mon entretpise, nous sommes en train de changer toute la gestion des comptes utilisateurs et sécuriser au mieux les connexions à nos différentes bases.

Nous sommes sous Sybase ASE 11.1.1 et allons passez sous peu sur 12.5.

Nos applications utilisent les librairies fournis par sybase (libsybdb.dll) en version Sybase DB-Library/11.1.1/P2-EBF8060/PC Intel/1/OPT/Sun Aug 09 16:50:29 1998

Notre soucis est que lorsqu'on demande une connexion au serveur, nous utilisons la procedure suivante (en Delphi):

pLogin := dblogin;
try
DBSETLUSER(pLogin , PChar(UserName));
DBSETLPWD(pLogin , PChar(Password));
DBSETLAPP(pLogin , PChar(ApplicationName));

dbproc := dbopen(pLogin , PChar(ServerName));
finally
dbloginfree(pLogin);
end;

Mais comme vous pouvez le constater, on fournit le password en CLAIR à la fonction, et du coup il suffit de sniffer le réseau pour voir en CLAIR dans les trames toutes ces infos (username, password, machine, serveur, ...).

Ma question est donc simple

les librairies Sybase permettent-elles de crypter le password que l'on utilise à la connexion ? Existe-t-il un moyen pour éviter que le password soit envoyé en clair au serveur Sybase ?

Merci bcp de vos réponse
A bientôt
Greg

mpeppler · 26/01/2007, 15h45

DBlibrary fourni la fonction suivante pour mettre le password en mode crypté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
DBSETLENCRYPT(login, TRUE);

Cette fonction existe depuis bien longtemps (version 10, peut-être même la 4.6), et correspond à l'option -X de isql.

Michael

yousky · 26/01/2007, 17h17

Merci Michael, j'avais bien vu cette fonction DBSETLENCRYPT en faisant mes recherches sous google cependant la DLL libsybdb.dll dont je dispose n'exporte aucune fonction ayant pour nom 'DBSETLENCRYPT' !!

Pourtant ma DLL semble être en version 11.1.1 (valeur renvoyée par la fonction dbversion).

Donc j'avoue que là je ne comprends pas surtout qu'il semblerait que cette fonction existe depuis la version 10.0.

Peut-être qu'il faut une version spéciale Security de la DB-Library non ?

Merci de ta réponse.

mpeppler · 26/01/2007, 17h56

En fait DBSETLENCRYPT est une macro et est définie dans le fichier .h (en C). Je ne sais pas si cette macro est implémentée en Delphi - je ne connais pas ce produit.

Je suggère de faire un essais avec un petit programme...

Michael

yousky · 06/02/2007, 10h46

Merci bcp Mpepler

c'est exactement ca, c'était une macro

Citation:

#define DBSETLENCRYPT(a,b) dbsetlbool((a), (b), DBSETENCRYPT)

définit dans le fichier SYBDB.h, il m'en donc facile désormais de faire la conversion sous Delphi car la fonction exportée dbsetlbool est déjà utilisée dans certaine fonction.

Merci

26/01/2007, 14h58	#1
yousky Membre à l'essai Inscription : septembre 2003 Messages : 48 Détails du profil Informations forums : Inscription : septembre 2003 Messages : 48 Points : 20 Points : 20	[ASE] Connexion sécurisée - Password Bonjour tout le monde, Dans mon entretpise, nous sommes en train de changer toute la gestion des comptes utilisateurs et sécuriser au mieux les connexions à nos différentes bases. Nous sommes sous Sybase ASE 11.1.1 et allons passez sous peu sur 12.5. Nos applications utilisent les librairies fournis par sybase (libsybdb.dll) en version Sybase DB-Library/11.1.1/P2-EBF8060/PC Intel/1/OPT/Sun Aug 09 16:50:29 1998 Notre soucis est que lorsqu'on demande une connexion au serveur, nous utilisons la procedure suivante (en Delphi): pLogin := dblogin; try DBSETLUSER(pLogin , PChar(UserName)); DBSETLPWD(pLogin , PChar(Password)); DBSETLAPP(pLogin , PChar(ApplicationName)); dbproc := dbopen(pLogin , PChar(ServerName)); finally dbloginfree(pLogin); end; Mais comme vous pouvez le constater, on fournit le password en CLAIR à la fonction, et du coup il suffit de sniffer le réseau pour voir en CLAIR dans les trames toutes ces infos (username, password, machine, serveur, ...). Ma question est donc simple les librairies Sybase permettent-elles de crypter le password que l'on utilise à la connexion ? Existe-t-il un moyen pour éviter que le password soit envoyé en clair au serveur Sybase ? Merci bcp de vos réponse A bientôt Greg
	00

26/01/2007, 17h56	#4
mpeppler Rédacteur/Modérateur Inscription : janvier 2006 Messages : 1 301 Détails du profil Informations personnelles : Âge : 52 Informations forums : Inscription : janvier 2006 Messages : 1 301 Points : 1 505 Points : 1 505	En fait DBSETLENCRYPT est une macro et est définie dans le fichier .h (en C). Je ne sais pas si cette macro est implémentée en Delphi - je ne connais pas ce produit. Je suggère de faire un essais avec un petit programme... Michael __________________ Michael Peppler Membre de TeamSybase - www.teamsybase.com "A successful [software] tool is one that was used to do something undreamed of by its author." -- S. C. Johnson
	00

26/01/2007, 17h17	#3
yousky Membre à l'essai Inscription : septembre 2003 Messages : 48 Détails du profil Informations forums : Inscription : septembre 2003 Messages : 48 Points : 20 Points : 20	Merci Michael, j'avais bien vu cette fonction DBSETLENCRYPT en faisant mes recherches sous google cependant la DLL libsybdb.dll dont je dispose n'exporte aucune fonction ayant pour nom 'DBSETLENCRYPT' !! Pourtant ma DLL semble être en version 11.1.1 (valeur renvoyée par la fonction dbversion). Donc j'avoue que là je ne comprends pas surtout qu'il semblerait que cette fonction existe depuis la version 10.0. Peut-être qu'il faut une version spéciale Security de la DB-Library non ? Merci de ta réponse.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email