Discussion :

[tiamat59]

Bonjour,

J'ai mis en place sur la connexion a ma base de données le ssl car le serveur apache et la base sont sur des serveur différent (serveur debian).
avec le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$this->db_ssluser, $this->db_pass, null, MYSQL_CLIENT_SSL);

Tout fonctionne apparemment.

Mais j'aurais aimer savoir comment vérifier que cela est bien crypter et ne passe plus en clair.

Je pense que l'on va m'envoyer bouler si je demande un logiciel pour sniffer les paquets pour voir la différence quand j'active et désactive, mais je demande quand même (avec wiresharck on peut faire sa?).

Sinon y a t'il quelque part des logs qui valide la connexion ssl que je soit certain de ma sécurité.

Merci d'avance

[franquis]

Salut!
Pour les logs, honnêtement, je n'en sait rien.
Cependant Wireshark répondra parfaitement à tes attentes pour analyser les échanges entre ton client et ta BDD!

[tiamat59]

OK merci pour ta réponse.

Mais si je ne me trompe pas, il faut que je mette le wireshark sur mon serveur apache, pas sur mon poste perso?

sa exitste wireshark pour linux (mode console)?

[franquis]

Oui en effet, tu dois capturer le trafic entre ton serveur Web et ton serveur de BDD.

Wireshark existe en console sous le nom de TShark.

L'objectif étant par exemple de capturer le trafic avec TShark, qui générera un fichier .cap que tu pourras analyser tranquillement avec Wireshark sur ton PC perso...

[tiamat59]

ok je vais tester cela.

Sinon en essayant wireshark sur mon pc local et en testant la connexion, je viens de me rendre compte que le champs input type password passe en clair.
n'y a t'il pas moyen de crypter cette envoi?
Je le crypte ensuite (ou plutot hash avec md5 et mot de passe).
je n'ai pas trouver d'info la dessus.
Cela veut dire que par exemple si je me log sur un forum (sans https) quelqu'un peu sniffer l'adresse IP du forum et voir passer tout les mot de passe en clair?

[stealth35]

Cela veut dire que par exemple si je me log sur un forum (sans https) quelqu'un peu sniffer l'adresse IP du forum et voir passer tout les mot de passe en clair?

et oui