Discussion :

[rafVega]

Bonjour,
voici mon premier messages après pas mal de consultations sur ce forum.
J'essaye d'apprendre la programmation par curiosité en autodidacte.
J'ai essayé de faire des petit bout de prog en ruby avec openssl en utilisant une clé symétrique si je dit pas de bêtise.

j'arrive a générer une clé et a m'en servir pour chiffrer/déchiffrer du texte.
Maintenant si j'essaye de créer un programme vraiment sécurisé il se pose quand meme le problème de:
"et si mon programme est de-compilé ?"
Un pirate pourra voir, dans le pire des cas la clé, ou sinon: où je vais la chercher ou encore comment je la construit.

Meme problème avec l’accès a une page protégé par un mot de passe qui est stocké sur une Base de donné.
Le mot de passe est stocké après être passé dans une fonction de hash (sha1).
Ca permet de ne pas avoir le mot de passe en clair dans la base mais si quelqu'un accede aux source il peut très bien modifié le code pour que le mot de passe rentrer dans le formulaire ne soit pas "hasher"
il copie-colle le mot de passe trouvé dans la base et accede à la page.

Tout ceci me fait penser que j'ai mal compris la mise en oeuvre de ces fonctions j'aimerai qu'on m'aide a y voir plus clair
Merci d'avance.

[razmous]

Bonjour,
j'essaye de créer un programme vraiment sécurisé il se pose quand meme le problème de:
"et si mon programme est de-compilé ?"

Un programme sécurisé ne se limite pas qu'à ce problème, ..., je ne vais pas tout détailler ici ca prendra plusieurs lignes ;-)
Déjà Ruby c'est un langage interprété donc la compilation, tu oublies ;-)

Un pirate pourra voir, dans le pire des cas la clé, ou sinon: où je vais la chercher ou encore comment je la construit.

Un principe de base : tu ne peux pas "d'une manière sécurisé" envoyer un coffre fort avec sa cle par le même canal ! c'est comme si tu envoies par la poste un message chiffré et la clef de déchiffrement. Aussi, lorsqu'on chiffre un message c'est de le protéger contre un autrui mais pas celui qui a la clef .... ou peut être je n'ai pas bien compris ta question

mais si quelqu'un accede aux source il peut très bien modifié le code pour que le mot de passe rentrer dans le formulaire ne soit pas "hasher"
il copie-colle le mot de passe trouvé dans la base et accede à la page.

Si quelqu'un accède aux sources "plutôt à l'OS" c'est déjà trop tard, il peut se servir comme il le veut, pas besoin de modifier le code source pour cela ;-) car il a accès aux fichiers et aux identifiants de la base de données

Tout ceci me fait penser que j'ai mal compris la mise en oeuvre de ces fonctions j'aimerai qu'on m'aide a y voir plus clair
Merci d'avance.

Malheureusement, il n'y a pas de solution magique, lorsque tu souhaites partager un "secret" avec quelqu'un, tu ne peux pas l'empêcher de réutiliser l'information "déchiffrée", juste rendre l'exploitation pénible pour le décourager, ou sinon utiliser des solutions en ligne comme WEB, client/serveur où la personne n'a pas accès au code (ou juste une partie) mais à une interface utilisateur (Navigateur ou client).

Pour tout ce qui est langage interprété tu peux voir du cote obfuscation du code ... ca rend juste l'exploitation pénible mais ne protège pas autant ton code .... cela t'amènera aussi à revoir ton code pour qu'il fonctionne comme souhaité ....

Je sais ce que j'ai dit n'est pas précis mais j'espere apporter un bout de réponse à ta question ;-)

[gangsoleil]

Bonjour,

D'après ce que je comprends, ta clé est actuellement dans le code source de ton logiciel, ce qui revient donc, comme le dit razmous, à envoyer un coffre-fort avec la clé attachée dessus. D'où l'utilisation, normalemnet, d'un autre canal pour envoyer la clé.

Dans tous les cas, il y a bien un moment où il faudra que tu fournisses la clé au logiciel, et que celui-ci l'utilise : à ce moment là, toute personne capable, par exemple, de faire un dump de la mémoire, pourra être en mesure de copier la clé. Il y a là aussi des mécanismes de protection, mais c'est bien sûr plus complexe à mettre en œuvre, et ça ne protège pas de tout.

[rafVega]

merci pour la réponse
j'ai penser a passer par un serveur pour pouvoir cacher une partie du code.
Naïvement je penser qu'une astuce avait été trouvé pour régler ce genre de problème.