Discussion :

[jocker]

Voila ne sachant pas trop où postez ma question et l'application finale étant réalisée en Java je poste ici.

Il s'agit en faite et en très gros d'une application de transfert de fichiers par le web, et j'ésite entre deux protocoles : SSH et SSL pour la sécurisation de l'acces entre le client et le serveur. Sachant que les données tranféré seront elles même cryptées avant l'envoi.

Donc voila auriez vous des informations a m'apporter et selon vous quel est le protocole le plus adapter dans le cadre de mon application.

Bonne journée a tous

[raj]

Pourquoi crypter les données si tu utilise un protocole comme SSL ( qui
crypte déja les données ) .

Personellement , je trouve que le protocole SSL est beaucoup plus
évolué que SSH .

Sinon quelle est l'architecture technique : Applet/Servlet, formulaires HTML, Applet qui se connecte à un serveur FTP ?

Si la connection est effectué uniquement vers le serveur Web , utilise SSL ( protocole HTTPS = HTTP+SSL ) .
Si tu développe une applet qui se connecte à un serveur différent que tu n'as pas développé , 2 solutions :

1) Le serveur en question ( FTP par exemple ) propose une configuration SSL ( exemple : vsftp qui propose le FTPs Explicite et le FTPs implicite )
2) Le serveur ne propose pas de protocole sécurisée donc dans ce cas ,
utilise le protocole SSH qui effectuera une redirection vers ton serveur


Voilà , bonne chance

[jocker]

En fait je suis chargé l'établissement du cahier des charges d'une application, mais celle ci ne sera pas développé par mes soins.

Les données sont elles même cryptées car dans le cadre de l'application (de la télésauvegarde) le possesseur du serveur n'a pas a pouvoir lire les données stockées.

Ni le client, ni le serveur existe a l'heure actuelle, c'est pour ca que je m'interroge quand au choix de l'une ou l'autre des solutions. Tout sera codé par une autre équipe de devellopeur, donc tant qu'a créer quelque chose autant utilisé directement le plus judicieux, d'ou ma question.

Tu as tout de même posé le doigt sur le point qui me turlupine (c'est beau ca comme mot tiens). Je voi partout SSL associé a un serveur web or dans mon cas point question de serveur web (ou alors j'ai zappé quelque chose)

Je te remercie néanmoins de ces premiers éléments de réponse. Toi tu sembles donc plus préconiser SSL. Dans SSL est il nécessaire d'acheter les certificats à des entreprises tierces (je comprend bien l'utilité dans des domaines comme le paiment sécurisé) ou dans un cadre comme le mien je peut définir moi même ces certificats ?

[Magicmax]

Tu as tout de même posé le doigt sur le point qui me turlupine (c'est beau ca comme mot tiens). Je voi partout SSL associé a un serveur web or dans mon cas point question de serveur web (ou alors j'ai zappé quelque chose)

SSL n'est pas uniquement associé aux serveurs web si je ne dis pas de betises... C'est simplement un procédé de sécurisation entre un client et un serveur, quelqu'ils soient...

Je te remercie néanmoins de ces premiers éléments de réponse. Toi tu sembles donc plus préconiser SSL. Dans SSL est il nécessaire d'acheter les certificats à des entreprises tierces (je comprend bien l'utilité dans des domaines comme le paiment sécurisé) ou dans un cadre comme le mien je peut définir moi même ces certificats ?

Dans ton cas tu pourras tres bien signer le certificat toi-même, pas besoin d'aller voir du côté d'une authorité de certification...

[raj]

SSL n'est pas uniquement associé aux serveurs web si je ne dis pas de betises... C'est simplement un procédé de sécurisation entre un client et un serveur, quelqu'ils soient...

Encore faut-il que le serveur le propose !
Le SSL ce n'est pas de la magie et il faut qu'il soient implémenté sur le serveur ( pour HTTP le port standart et le 443 ) .
De plus 2 modes d'implémentation existe : EXPLICITE et IMPLICITE :
1) IMPLICITE , (c'est le cas de HTTPS , le plus connu )
La connection TCP démarre ( three-way handshake) ensuite le protocole
SSL démarre (négociation des cléfs , diffie-helmann, ....) ensuite une fois
les cléfs échangé on rebascule en HTTP avec un canal chiffré

2) EXPLICITE ( certains serveur FTP )
La connection TCP démarre ensuite c'est FTP qui démarre et il faut lancer
une commande explicite ( ftp> AUTH TLS ) pour rebasculer en SSL

Conclusion : Oui SSL n'est pas uniquement un protocole HTTP mais
il faut vérifier si le serveur le propose . Contrairement à SSH qui
effectue de la redirection (tunneling de port) , solution qui fonctionne
avec n'importe quelle type de serveur.


NB : Pour ce qui est de la création de certificat, il faut savoir que openssl génère des certificats X509 au format PKS alors que keytool ( outil de JAVA ) génère des certificats au format JKS par défault , alors attention
au pb de compatibilité !

[Magicmax]

SSL n'est pas uniquement associé aux serveurs web si je ne dis pas de betises... C'est simplement un procédé de sécurisation entre un client et un serveur, quelqu'ils soient...

Encore faut-il que le serveur le propose !

Effectivement, autant pour moi. L'avantage que jocker a c'est qu'il doit lui-même spécifier le type du serveur qui sera en face (si j'ai bien compris )

[jocker]

Voila, il y aura bien le client et le serveur à développer donc en faite la question est de savoir es ce que dans le cadre de la sécurisation de la connexion entre un serveur et un client pour de la télésauvegarde.

SSL offre t'il des avantage par rapport à SSH (peut etre une consideration a prendre en compte : le serveur est sous win ainsi que la majorité des clients).

Les avantages eventuelles sont t'il proportionné aux éventuelles difficultés supplémentaires qu'engendre l'utilisation de SSL

Bref personnellement votre choix s'orienterai t'il plus vers du SSH ou du SSL dans mon cas (personnellement j'aurais plus opter pour SSH de par mes connaissances mais vu que je ne serai pas en charge du developpement ...)

[raj]

Honnetement , vu ton cas opte pour SSH , c'est la solution la plus simple
à mettre en place ( en plus les fichiers seront déja cryptée )