Discussion :

[Mindiell]

Bonjour à tou(te)s,

Je souhaite développer une application web open-source. Mais je souhaite aussi proposer à mes futurs clients de pouvoir utiliser cette appli via le net, sachant qu'elle est sur mon serveur (Cela entraine des frais fixes et pas de maintenance pour le client).

Bref, sachant que certaines données pourraient-être sensibles (type : nom, prénom, adresse, téléphone) bien que non "militaires", j'ai envisagé une solution que je souhaite vous soumettre parce que je n'ai pas forcément pensé à tout

En gros, le client rentre un prénom sur la page web : "Nicole", puis avant l'envoi par le net, un javascript le crypte (algo officiel connu et résistant, pas un truc perso ^^) et c'est stocké crypté dans la base (même moi je ne peux donc pas le lire).
Au retour, idem, le javascript décrypte les données.

Au final, il me reste un souci : la clef est présente côté client uniquement, mais où la conserver (s'il y a plusieurs postes, ils ne doivent pas la retaper, etc...) ?

L'avantage, c'est que les données décryptées ne sont présentes que sur l'interface client au moment où il est sur l'application.

Si vous avez des idées, des critiques, des contre-indications, n'hésitez pas !

[spawntux]

Ou bien plus simple, https + de ton coté tu stocks les datas chiffré dans ta bases en AES (mysql implemente ca) et a partir de la tu es tranquil :p

Le javascript tu oublies total ca se bypass apres tu peux faire en plus du https une authentification par certificat (dongle ?).

Voila dans les grandes lignes

[Mindiell]

le javascript, qu'il se bypass, je m'en fiche. Au bout du tunnel tout est decrypté.
Forcément le SSL j'y ai pensé. Et donc, oui, il faut crypter les donnees derrière.

Merci pour ta réponse