Discussion :

[guillaume40]

Bonjour,
J'ai un projet personnel en C# et j'aurais besoins de sauvegarder des données.

Et j'aimerai savoir quelle méthode est la meilleure et la plus sécurisé.

Soit du stockage local dans des fichiers XML crypté
Soit du stockage à distance dans une base de donnée

Les informations stockées doivent être bien protégés, car ca peut être des identifiants de serveurs, de sites, etc...

Merci d'avance

[PatteDePoule]

Si à la base ton programme contient le mot de passe pour accéder à la ressource, un p'tit coup de Reflector et le mot de passe apparaît.

Il faudrait que tu utilises un programme pour protéger ton code, ensuite tu protèges tes données

Donc tout dépend du niveau de sécurité que tu veux.

[guillaume40]

Au départ j'était partit sur du cryptage de flux XML avec une clé sur 8 caractères.
Et pour crypter/décrypter les fichiers il faut que l'utilisateur saisisse cette clé, donc cette clé de cryptage n'est stocké nulle part si ce n'est dans la tête de l'utilisateur

Mais je me suis dit que le stockage par fichier XML sur le disque dur local c'était pas top, dans la mesure où l'application est utilisé sur différent PC

[jbrasselet]

Si tu as en effet des données accessibles par différents utilisateurs, le fichier xml n'est pas la meilleure méthode pour tes sauvegardes.
Une base de données semble plus appropriée

[PatteDePoule]

Effectivement, à partir du moment où les données doivent être accédé à partir de plusieurs poste, une vrai BD s'impose.

Et si en plus les infos sont chiffré avant d'être transmis à la BD par un mot de passe connue seulement par l'utilisateur, c'est un bon départ!

Tu peux aussi chiffrer ta connexion à la BD, mais là je ne sais pas comment.

Donc tout dépend de comment tu veux être parano pour ta sécurité.

[guillaume40]

Oui après si j'utilise une base de donnée, je pense que de base les connexions aux bases de données sont assez bien protégés.
A la limite le seul moyen d'accèder à ces données serait une sorte de 'sniffing' du réseau, mais pas sur qu'on puisse y accéder facilement.

Je me pencherais sur la question de quel SGBD choisir, car actuellement j'ai un serveur web qui utilise MySQL faudrait que je vois si je peux utiliser assez facilement une base MySQL dans mon application C#

[jbrasselet]

c'est jouable normalement via un driver mysql et une connexion odbc

[Er3van]

cette clé de cryptage n'est stocké nulle part si ce n'est dans la tête de l'utilisateur

Cela m'étonnerait beaucoup qu'un utilisateur stocke ça dans sa tête, et seulement dans sa tête.
Est-ce que c'est mieux ainsi ? Pas sûr.

Si c'est vraiment le cas, c'est d'autant plus risqué que s'il oublie la clé, les données sont perdues.


Après, d'une manière générale, je pense que tu peux sécuriser facilement dans une base de données type SQL Server. Les mots de passe peuvent y être cryptés.
Il faut également penser à sécuriser le canal, ainsi que le poste client.

Est-ce que ce sont les données qui sont sensibles, ou la valeur ajoutée de l'application ?

[Pol63]

la meilleure sécurité en .net vient du fait qu'un utilisateur doit entrer une clé ou un mot de passe ...
après rien n'empeche que cette données soit enregistrer sur un serveur pour la redonner au client quand il l'oublie

[guillaume40]

En fait ce sont un peu les deux qui sont sensibles.
Car si on a accés au logiciel on devrait avoir accés aux identifiants (sauf si ce logiciel est bloqué par un mot de passe utilisateur)

Mais à mon avis ce sont plus les données en elles même qui sont importantes car imaginons un webmaster qui gère un réseaux de sites web qui contient 50-100 sites et qu'il stocke tous les accès dans ce logiciel , si quelqu'un aurait accès à cette base de donnée d'accès de FTP , alors si la personne peut faire ce qu'elle veut sur ces sites...

Donc je pense qu'en fait il est utile de mettre 2 protections, un cryptage sur les mots de passe dans la base de données, et un mot de passe pour entrer dans le logiciel ou quelque chose comme çà