Discussion :

[vasilov]

Bonjour,
je cherche un moyen d'accéder à un base de donnée MySql de façon sécurisée.

Pour se connecter à la DB, il faut : l'url, le login et le password.
Tous ces parametres sont située dans un fichier de config, qui est lu par l'application qui ce connecte à la DB.

Le probleme est que le mot de passe apparait dans ce fichier et peut etre vu de tous. Cela meme si il est crypté, en effet, la clé de cryptage se trouvant dans une classe de l'aplication qu'il est possible de décompiler.

ma question est simple : comment faire pour ne faire que seul l'application puisse se connecter (lire le fichier de config)vet pas une tierce personne?

merci pour votre aide.

[ghorgor]

Tu risques d'avoir systématiquement ce problème à partir du moment où ce sont les postes distants et multiples qui accèdent directement à la base de données...

Pour limiter les risques, et éviter d'avoir ce fichier de config à la portée de tout le monde, tu peux passer ta connexion par un seul poste, et faire une appli type client.serveur ou le client communique ses vélléités au serveur, et le serveur fait la connexion, avec le login et le mot de passe (eventuellement dans un fichier de config, mais avec l'avantage qu'il ne se ballade pas partout)...

Sur le même type de raisonnement, tu peux aussi faire ta connexion en servlet, et faire une communication application/servlet, (ou Applet/Servlet...)

Sur le même modèle, tu peux protéger l'accès à la base par pas mal de méthodes, (vérification d'adresse IP, mettre un login /password pour la connexion a la servlet, restreindre l'accès a ta servlet, etc...)

Enfin, a la base, c'est de cette manière que je le ferais, maintenant, ton code est peut etre totallement ecrit... Ca nécessite quelques modifications...

[n00bi]

Si tu veux que ca soit le client qui fasse la connexion à la base et pas le serveur tu peux toujours faire une connexion avec le serveur qui lui te renverra le mot de passe ...

Sinon le plus sécurisé est que ca soit l'user qui entre le passwd de connexion ... mais bon c'est pas intuitif ^^

[vasilov]

merci, mais je pas acces a un serveur autre que celui de la base de donnée : ni serveur php ni autre.

Sinon j'aurais pris l'idée de demander a un serveur les parametres de connexion.

[n00bi]

Tu ne pourras pas sécuriser à 100% ... admettons que tu aies encrypté le mot de passe et que tu le décryptes dans ton programme : même problème ... rien n'empêche quelqu'un de décompiler ton code et de décortiquer ton algorithme de décryptage.

Apres tu peux protéger ton code contre la décompilation avec un obfuscateur (je ne m'en suis jamais servi) mais c'est pas protégé à 100%.

Quoi qu'il en soit le meilleur moyen et que la personne rentre le mot de passe a la main ... sinon ca veut dire qu'il est stocké quelque part et qu'on pourra y accéder ^^

[vasilov]

merci, je vais utiliser un obfuscateur , ce sera déjà ca. (je ne peut pas demmander à chaques utilisateurs de connaitre le mot de passe)

Je laisse le post non résolu pour si jamais quelqu'un a une idée différente.

Pour l'instant : les parametres de config sont dans un fichier qui est "crypté à la main" et les classes qui permettent ce cryptage sont "obfuscées".