Discussion :

[MdSonper]

Bonjour à tous et à toutes !

Voilà, j'ai plusieurs questions en tête, j'ai bien sûr cherché, mais j'ai pas été entièrement satisfais des réponses trouvées

Je compte concevoir un petit programme (login) qui utilisera une base de donnée (MySQL).

Ce programme en question sera installé sur le pc des utilisateurs.

Pour que mon programme accède à la BDD, je vais devoir utiliser le MySQL distant, donc y stocker les identifiants de connexion dans le code (Programme obfusqué).

Voici donc ma première question.

Les identifiants/données peuvent-ils être "sniffer" via un logiciel tel que Wireshark ?

Vu que je n'aime absolument pas mettre des identifiants dans un code, j'ai envisagé une autre solution.

Prendre un VPS, y développer un programme "server" et "client" (mon programme de base).

Le programme "client" enverra les données via sockets au "server" et celui-ci ce chargera de traiter les informations (insert BDD, ect...).

Donc impossible de voler les identifiants SQL.


Je me suis renseigné sur les sockets, je sais qu'on peut les sniffer voir même les modifier.
Pour régler ce problème, je compte utiliser le système RSA (clé publique/privée) pour crypter les échanges.

J'en viens donc à ma seconde question,

Quelles méthodes choisir parmi ces deux là ? Comment bien communiquer avec sa BDD distante ? (sécurité, fluidité)

Je vous remercie d'avance

[mactwist69]

MySQL autorise les connexions sécurisées via SSL.
Ca me parait être le plus simple...

[wallace1]

Bonjour,

Il n'a pas été nécessaire de poursuivre la lecture de ton message puisque déjà à cet endroit ça coince :

Pour que mon programme accède à la BDD, je vais devoir utiliser le MySQL distant, donc y stocker les identifiants de connexion dans le code (Programme obfusqué)

Il ne fait pas croire qu'obfusquer ton programme rendra impossible la récupération des données sensibles.
Il faut effectivement éviter ce point qui vise à stocker "en clair" l'identifiant de connexion à ta DB dans ton programme côté client..... C'est une grosse faille de sécurité.
Concernant la sécurité Server Side, il existe ce vieux projet pour t'en inspirer éventuellement : LiteCode

@mactwist69 :


++

[MdSonper]

MySQL autorise les connexions sécurisées via SSL.
Ca me parait être le plus simple...

Simple, mais les identifiants sont stockés en clair :/

Bonjour,

Il n'a pas été nécessaire de poursuivre la lecture de ton message puisque déjà à cet endroit ça coince :



Il ne fait pas croire qu'obfusquer ton programme rendra impossible la récupération des données sensibles.
Il faut effectivement éviter ce point qui vise à stocker "en clair" l'identifiant de connexion à ta DB dans ton programme côté client..... C'est une grosse faille de sécurité.
Concernant la sécurité Server Side, il existe ce vieux projet pour t'en inspirer éventuellement : LiteCode

@mactwist69 :


++

Je savais que l'obfuscation permet en gros de ralentir ou d'éliminer quelques rigolo mais ne protégeait pas à 100%, c'est pour cela que j'ai envisager la deuxième solution.

Merci de ton exemple, je ne connaissais pas du tout :o Pour le moment j'allai utiliser cette exemple. C'est à peu près la même chose si j'utilise le cryptage RSA à chaque échange ?

De plus je maîtrise plus le VB, le C# j'apprend

[Pol63]

le cryptage si tu as la clé dans ton code ca reste moyen aussi ...

[MdSonper]

le cryptage si tu as la clé dans ton code ca reste moyen aussi ...

Je ne compte pas stocker de clé dans le code, vu que c'est un système de login, donc chaque utilisateur aura ses clés (public/privée). Encore savoir où les stocker...

Quelle méthode est la plus adéquate/sécurisée ?