Discussion :

[yousky]

Bonjour tout le monde,

Dans mon entretpise, nous sommes en train de changer toute la gestion des comptes utilisateurs et sécuriser au mieux les connexions à nos différentes bases.

Nous sommes sous Sybase ASE 11.1.1 et allons passez sous peu sur 12.5.

Nos applications utilisent les librairies fournis par sybase (libsybdb.dll) en version Sybase DB-Library/11.1.1/P2-EBF8060/PC Intel/1/OPT/Sun Aug 09 16:50:29 1998

Notre soucis est que lorsqu'on demande une connexion au serveur, nous utilisons la procedure suivante (en Delphi):

pLogin := dblogin;
try
DBSETLUSER(pLogin , PChar(UserName));
DBSETLPWD(pLogin , PChar(Password));
DBSETLAPP(pLogin , PChar(ApplicationName));

dbproc := dbopen(pLogin , PChar(ServerName));
finally
dbloginfree(pLogin);
end;

Mais comme vous pouvez le constater, on fournit le password en CLAIR à la fonction, et du coup il suffit de sniffer le réseau pour voir en CLAIR dans les trames toutes ces infos (username, password, machine, serveur, ...).

Ma question est donc simple les librairies Sybase permettent-elles de crypter le password que l'on utilise à la connexion ? Existe-t-il un moyen pour éviter que le password soit envoyé en clair au serveur Sybase ?

Merci bcp de vos réponse
A bientôt
Greg

[mpeppler]

DBlibrary fourni la fonction suivante pour mettre le password en mode crypté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
DBSETLENCRYPT(login, TRUE);

Cette fonction existe depuis bien longtemps (version 10, peut-être même la 4.6), et correspond à l'option -X de isql.

Michael

[yousky]

Merci Michael, j'avais bien vu cette fonction DBSETLENCRYPT en faisant mes recherches sous google cependant la DLL libsybdb.dll dont je dispose n'exporte aucune fonction ayant pour nom 'DBSETLENCRYPT' !!

Pourtant ma DLL semble être en version 11.1.1 (valeur renvoyée par la fonction dbversion).

Donc j'avoue que là je ne comprends pas surtout qu'il semblerait que cette fonction existe depuis la version 10.0.

Peut-être qu'il faut une version spéciale Security de la DB-Library non ?

Merci de ta réponse.

[mpeppler]

En fait DBSETLENCRYPT est une macro et est définie dans le fichier .h (en C). Je ne sais pas si cette macro est implémentée en Delphi - je ne connais pas ce produit.

Je suggère de faire un essais avec un petit programme...

Michael

[yousky]

Merci bcp Mpepler c'est exactement ca, c'était une macro

#define DBSETLENCRYPT(a,b) dbsetlbool((a), (b), DBSETENCRYPT)

définit dans le fichier SYBDB.h, il m'en donc facile désormais de faire la conversion sous Delphi car la fonction exportée dbsetlbool est déjà utilisée dans certaine fonction.

Merci