Discussion :

[spring.time]

Salut,

svp, est ce que vous pouvez m'aider sur la sécurité de mon application, que j'aimerais la partager sur un réseau local.

est ce que je dois crypter les mots de passe des utilisateurs, par sql server ou au niveau de l'application (vb.net), ou dois je crypter la chaîne de connexion?
et comment ?

c'est la première fois que je vais mettre en place une application qui doit etre utilisée par différents utilisateurs via un réseau local, est ce que, au niveau de serveur, que vais installer sql server pour l’accès à la BD, et l’exécutable de l’application sur chaque poste des clients, c'est bien cela?

merci

[GuruuMeditation]

Crypter (ou hasher) les mots de passe. Ne pas les sauver en clair dans la db. Avoir une connections sécurisée entre le client et la db. Et crypter la chaîne de connexion. Avec ça c'est déjà bien. Ça s'arrêtera pas un hacker expérimenté, mais j'imagine que tu n'as pas de secrets d'État.

[DotNetMatt]

On peut rajouter qu'il faut utiliser des requêtes SQL paramétrées afin de se prémunir un minimum contre les attaques par injection. Cela dit, ce n'est pas non plus un remède miracle.

Il est aussi recommandé de bien valider les saisies utilisateurs, côté serveur comme côté client.

Il existement beaucoup d'autres conseils à prendre en compte. Microsoft a publié il y a déjà quelques temps un guide appelé "Patterns & Practices" qui recense les best practices...

[spring.time]

Bonjour,

je vous remercie beaucoup,

pour le cryptage, j'ai remarqué qu'il existe sur visual studio des méthodes comme
Security.Cryptography.SHA256Managed et Security.Cryptography.MD5CryptoServiceProvider

je les ai testé, on me généré des codes composés de chiffres et de lettres.
lequel à utiliser?

par exemple, lorsqu'un utilisateur crée son compte sur l'application, je vais d'abord le crypter selon une de ces 2 méthodes, puis j'enregistre le texte chiffré sur la base de donnée, dans la colonne dédiée aux mots de passe.
et si l'utilisateur entre son mot de passe pour acceder à son espace dans l'application, je vais crypter le mot de passe saisi et je le compare avec celui qui est sauvegarder dans la base.c'est bien cela?


et comment crypter la chaine de connexion?

est ce que vous pouvez me suggérez des techniques ?

merci

[DotNetMatt]

pour le cryptage, j'ai remarqué qu'il existe sur visual studio des méthodes comme
Security.Cryptography.SHA256Managed et Security.Cryptography.MD5CryptoServiceProvider

je les ai testé, on me généré des codes composés de chiffres et de lettres.
lequel à utiliser?

Il vaut mieux utiliser SHA256, car il est considéré comme plus fort que MD5. Il suffit d'une petite recherche Google pour s'en rendre compte.

par exemple, lorsqu'un utilisateur crée son compte sur l'application, je vais d'abord le crypter selon une de ces 2 méthodes, puis j'enregistre le texte chiffré sur la base de donnée, dans la colonne dédiée aux mots de passe.
et si l'utilisateur entre son mot de passe pour acceder à son espace dans l'application, je vais crypter le mot de passe saisi et je le compare avec celui qui est sauvegarder dans la base.c'est bien cela?

Oui c'est bien ça ! Tu compares les 2 hash, et s'ils sont identiques c'est que c'est le bon mot de passe.

et comment crypter la chaine de connexion?

Ce lien te fournira des exemples de ce que tu cherches à faire : http://msdn.microsoft.com/en-us/library/ms254494(v=vs.100).aspx

[spring.time]

merci

vous avez dit que l'algorithme SHA256 est plus consistant que celui de MD5, mais dans quel cote?
j'ai pu trouvé un bout de code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
' Pour convertir le mot de passe en tableau de byte:
        Dim encoder As New System.Text.UnicodeEncoding
        ' On obtient un tableau à partir du mot de passe entré:
        Dim password() As Byte = encoder.GetBytes(T_m.Text)
        ' Pour crypter le mot de passe:
        Dim sha As New Security.Cryptography.SHA256Managed
        'MD5CryptoServiceProvider
        ' On obtient le mot de passe crypté:
        Dim PassSHA() As Byte = sha.ComputeHash(password)
        ' T_r.Text = CType(PassSHA, String)
        Dim r As String
        r = BitConverter.ToString(PassSHA)
        T_r.Text = r

que vous en dites?


lorsque je compare le mot de passe déjà crypté avec ce qui est saisi,est ce qu'il y ' a un risque de le sniffer et de lui appliquer le décryptage avec SHA256?

concernant le chiffrement de la chaine de connexion, que pourriez vous me suggérer?
merci