Discussion :

[andr386]

Bonjour,
J'arrive de manière un peu impromptue sur ce sujet, comment vous-y prennez-vous pour crypter vos données dans vos bases de données?

Je connaissais absolument pas comme technique :-S

Merci de vos réponses ;-)

Je pense que ce qu'on sous-entendait par crypter les donnees c'etait de ne pas conserver des mots de passe en clair dans des tables de la base de donnee.

A la place, quand tu inseres un mot de passe dans la base de donnees tu le crypte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
mysql_query("INSERT INTO `utilisateurs` (`login`,`password) 
                                  VALUES ( 'user1',   SHA1('".$mot_de_passe."'))"
                       );

On peut aussi utiliser MD5, mais c'est un peu depasse et trop facile a decrypter de nos jours.

MD5 et SHA1 crypte le mot de passe, le resultat est une tres longue chaine tres dur a decrypter. Donc quand on veut verifier que le mot de passe d'un utilisateur est bon on compare directement le hash md5 ou sha1 de ce mot de passe (qu'on obtient avec une fonction adequate p.ex. sh1($mot_de_passe) ou md5($mot_de_passe) en php) avec le champs crypte dans la BD.

[Garra]

A l'avenir sous windows, utilise plutot WinSCP. Qui utilisera SSH ou ton password sera completement crypte.

salut et merci

c'est sur (enfin presque que c'est un problème ftp car mes pages php ne font jamais de l'include à partir d'un GET et que mon site n'a pas de formulaire où on puisse saisir du code HTML.

le fait qu'ils arrivent à me copier des fichiers .js et à modifier aussi mes pages .html me fait plutôt penser à une faille ftp oui oui.

J'ai aussi mis les fichiers en cdmod 404 en lecture seule.

j'ai changé mon mot de passe ftp mais comment ça se fait que nous sommes nombreux à avoir ce problème comme par hasard chez ovh???? et qui désormais proposent un service payant d'audit sur les pages.....

je vous remercie à tous de votre aide et si j'ai bien compris il ne faut plus que j'utilise filezila mais par exemple winscp??? c'est bien cela??

merci encore

[HiRoN]

Si tu es sous MySQL, tu peux aussi regarder du côté de OLD_PASSWORD pour crypter côté base de données

[andr386]

j'ai changé mon mot de passe ftp mais comment ça se fait que nous sommes nombreux à avoir ce problème comme par hasard chez ovh???? et qui désormais proposent un service payant d'audit sur les pages.....

je vous remercie à tous de votre aide et si j'ai bien compris il ne faut plus que j'utilise filezila mais par exemple winscp??? c'est bien cela??

merci encore

Hum dans la boite ou je travaille si sous linux je lance dsniff ou ethercap je peux lire les password FTP, POP, SMTP ... de presque tout le monde en clair.

Je ne sais pas ce qu'il y a comme securite par defaut chez OVH. Mais si un jour j'ai un hebergement dedie chez eux, j'installerai ces logiciel sur ma box et je m'assureraii d'essayer ces logiciels afin de savoir si d'autres personnes pouraient sniffer mes password.

J'ai un compte mutualise chez ovh, et quand je me connecte en ssh, je peux compiler des programme ecrit en C. Ca ne devrait pas prendre des heures d'ecrire un petit programe en C qui recupere les login/password ftp qui passent sur le reseau si il n'y a pas plus de protection de la part de OVH.

Mais est-ce vraimment un probleme ? NON

Si tu es sous Windows tu peux te connecter en sshftp avec WinSCP et ton password + tes donnees seront completement cryptees. Sur un mac tu peux installer MacFusion , et sous linux fusefs et sshfs.

[bredelet]

Filezilla fait aussi sftp.

Je ne sais pas ce que vaut OVH, ils ont peut-être fait quelque chose de louche mais ce n'est pas la première explication qui vient à l'esprit.

[Garra]

merci !!!!!
je ne savais pas que filezila faisait du sftp!!

concernant ovh, je suis d'accord avec toi, mais ce qui est tout de même curieux c'est qu'à la première recherche que j'ai faite sur le problème, tous les forums qui en parle, sont des gens hebergés chez ovh. Je te l'accorde, c'est peut-être une coincidence!!!

De toutes façons c'est à nous de faire tout pour ne pas être hackés!!!

merci à tous à nouveau pour vos aides!!!!