1. #21
    Membre habitué
    Avatar de ABD-Z
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2016
    Messages
    49
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 20
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2016
    Messages : 49
    Points : 184
    Points
    184

    Par défaut

    Citation Envoyé par fred1599 Voir le message
    Oui mais on verra tout de même ses requêtes sql, non ?
    Effectivement, puis que ce sont de simples chaînes de caractères....
    Faut faire de la crypto...

    On stocke des requêtes cryptées, bien cryptées voire très très bien cryptées, et ensuite on décrypte lorsqu'on a besoin...

    Après, tant qu'on parle de crypto, il est possible de crypter tout un logiciel entier et de le décrypter lors de son exécution... Mais là je ne sais pas comment faire ce genre de chose

  2. #22
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 274
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 274
    Points : 6 084
    Points
    6 084

    Par défaut

    Citation Envoyé par ABD-Z Voir le message
    Après, tant qu'on parle de crypto, il est possible de crypter tout un logiciel entier et de le décrypter lors de son exécution... Mais là je ne sais pas comment faire ce genre de chose
    c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate) et il peut arriver que ce soit détecté par certains antivirus comme des faux positifs

    j'avoue qu'à ce stade perso j'ai toujours pas compris de quoi il était question, "créer un fichier pour auditer" ?? exécuter des requêtes sql ok, mais ça veut dire quoi, livrer le script python avec un sgdb sql ? et on entend quoi par "audit", un audit de sécu ? qu'est-ce qu'on protège concrètement, lesdites requêtes sql ?
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  3. #23
    Membre habitué
    Avatar de ABD-Z
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2016
    Messages
    49
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 20
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2016
    Messages : 49
    Points : 184
    Points
    184

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate)
    Certes mais ça rendrait la chose fort compliqué. Les jeux sur bornes d'arcade CPS-2 et 3 ont été tellement bien crypté qu'on a attendu dix ans minimum pour voir au jour un émulateur. (l'émulation a eu lieu grâce à une faille dans un certain jeu sur CPS changer je crois..)

  4. #24
    Membre régulier
    Profil pro
    Inscrit en
    août 2009
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 144
    Points : 97
    Points
    97

    Par défaut

    Citation Envoyé par ABD-Z Voir le message
    Article intéressant AlternantOracle, mais codes-tu de cette manière, comme cela par exemple :

    Une boucle normal :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    # o r i g i n a l  loop
    for  expr0  in expr1:
        work()
    Tu la fais comme ça pour l’offusquer comme décrit dans le pdf:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
     
    from  __builtin__  import iter as  my_iter
    # obfuscated  loop
    var = my_iter(expr1)
    while 1:
        try:
            expr0 = var.next()
        except  StopIteration:
            break
        work()
    Codes-tu de cette manière-là?
    As-tu compris l'intérêt de cette complication?
    Oui tout a fait j'ai déjà vu ce genre de techniques pour rendre le code illisible.

    Citation Envoyé par BufferBob Voir le message
    c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate) et il peut arriver que ce soit détecté par certains antivirus comme des faux positifs

    j'avoue qu'à ce stade perso j'ai toujours pas compris de quoi il était question, "créer un fichier pour auditer" ?? exécuter des requêtes sql ok, mais ça veut dire quoi, livrer le script python avec un sgdb sql ? et on entend quoi par "audit", un audit de sécu ? qu'est-ce qu'on protège concrètement, lesdites requêtes sql ?
    Pour être clair, Je veux juste développer mon toolkit DBA et qu'il ne soit pas lisible et/ou pourquoi pas le rendre inexploitable si je l'oubli sur un serveur client.
    => d'ailleurs d'où une de mes questions liées à l'autodestruction possible ou non d'un exe.
    Pourquoi du coup ? Parce que je suis une gros faignasse et que j'aime tout automatiser sans me faire piquer mon travail .

  5. #25
    Modérateur

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2008
    Messages
    10 343
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : Industrie

    Informations forums :
    Inscription : juin 2008
    Messages : 10 343
    Points : 16 920
    Points
    16 920

    Par défaut

    Citation Envoyé par ABD-Z Voir le message
    Effectivement, puis que ce sont de simples chaînes de caractères....
    Faut faire de la crypto...
    Vous pourrez toujours crypter... il faudra quand même les expédier en clair et on pourra les voir passer sur le réseau ou dans des logs du SGDB.

    - W
    Architectures post-modernes.
    Python sur DVP c'est aussi des FAQs, des cours et tutoriels

  6. #26
    Membre éclairé

    Homme Profil pro
    linux, pascal, HTML
    Inscrit en
    mars 2002
    Messages
    419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 68
    Localisation : Belgique

    Informations professionnelles :
    Activité : linux, pascal, HTML
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2002
    Messages : 419
    Points : 819
    Points
    819
    Billets dans le blog
    1

    Par défaut

    Bonjour,
    Cela me parait difficile d'empêcher quelqu'un de compètant de voir les requêtes sql effectuées sur son serveur !
    Sur le plan légal, aller récupérer des informations chez un client sans qu'il puisse connaître la nature de ce que vous avez récupéré , cela me semble un peu limite !
    Je ne vois pas comment vous pourriez refuser, si le client demande la liste des requêtes effectuées sur son serveur.
    Donc, la seule solution est bien, comme on vous l'a suggéré, d'effectuer le maximum de traitements chez vous.

  7. #27
    Membre régulier
    Profil pro
    Inscrit en
    août 2009
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 144
    Points : 97
    Points
    97

    Par défaut

    Vous avez bien raison je n'ai pas pensé a ce détail, c'est pourtant enfantin de récupérer des requêtes SQL passé sur une instance avec des traces.
    Je pense que je vais lancer des requêtes simples et les agréger après, merci pour ce précieux conseil.

  8. #28
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 274
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 274
    Points : 6 084
    Points
    6 084

    Par défaut

    Citation Envoyé par ABD-Z Voir le message
    Certes mais ça rendrait la chose fort compliqué. Les jeux sur bornes d'arcade CPS-2 et 3 ont été tellement bien crypté qu'on a attendu dix ans minimum pour voir au jour un émulateur. (l'émulation a eu lieu grâce à une faille dans un certain jeu sur CPS changer je crois..)
    oui enfin on parle d'une époque ou les gens qui essayaient de cracker ledit système se comptaient sur les doigts d'une main, où une petite partie de la population seulement commençait à avoir accès à internet et à l'information tout azimut, et où même parmi ceux qui avaient la technicité suffisante, le sujet n'intéressait probablement qu'une minorité, depuis les protections logicielles n'ont en général pas tenu plus de quelques mois, le secteur du jeux vidéo est un bon exemple

    en l'occurrence UPX ça s'unpack en 5min, mais son propos est plus de compresser les données et les intégrer dans un binaire unique, la couche de chiffrement est accessoire, les protections plus complexes et un tant soi peu efficaces ont un coût, souvent élevé, et ne pourront de toutes façons pas s'appliquer à un code Python
    de même l'obfuscation du code source est très probablement inutile, puisqu'au bout du compte c'est le bytecode qui transite, et depuis le bytecode Python on récupère très bien le code d'origine, mais dans l'intervalle il est possible que les obfuscations aient été perdues

    aussi et comme dit plus haut, si le propos est d'aller chez le client, en général on ne débarque pas avec ses scripts dans les bras en demandant où on peut les poser, on négocie plutôt un accès au réseau pour son laptop par exemple, de là s'il s'agit d'aller taper une base de donnée pourquoi ne pas l'attaquer sur son port réseau directement ou en proxyfiant les requêtes à travers un tunnel ssh ? plus de problème de scripts oubliés chez le client

    enfin chercher à protéger une poignée de requêtes sous prétexte que c'est son gagne-pain, c'est un peu faire l'avoeu que l'humain n'a aucune valeur ajoutée et que son job est fragile et transférable à n'importe qui, alors que ce qui fait le salaire c'est plutôt censé être l'expertise de l'humain, sans quoi on prend le risque de se faire remplacer par un stagiaire dont le seul rôle est de cliquer sur un bouton au bon moment, voire directement par un robot...
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  9. #29
    Membre régulier
    Profil pro
    Inscrit en
    août 2009
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 144
    Points : 97
    Points
    97

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    oui enfin on parle d'une époque ou les gens qui essayaient de cracker ledit système se comptaient sur les doigts d'une main, où une petite partie de la population seulement commençait à avoir accès à internet et à l'information tout azimut, et où même parmi ceux qui avaient la technicité suffisante, le sujet n'intéressait probablement qu'une minorité, depuis les protections logicielles n'ont en général pas tenu plus de quelques mois, le secteur du jeux vidéo est un bon exemple

    en l'occurrence UPX ça s'unpack en 5min, mais son propos est plus de compresser les données et les intégrer dans un binaire unique, la couche de chiffrement est accessoire, les protections plus complexes et un tant soi peu efficaces ont un coût, souvent élevé, et ne pourront de toutes façons pas s'appliquer à un code Python
    de même l'obfuscation du code source est très probablement inutile, puisqu'au bout du compte c'est le bytecode qui transite, et depuis le bytecode Python on récupère très bien le code d'origine, mais dans l'intervalle il est possible que les obfuscations aient été perdues

    aussi et comme dit plus haut, si le propos est d'aller chez le client, en général on ne débarque pas avec ses scripts dans les bras en demandant où on peut les poser, on négocie plutôt un accès au réseau pour son laptop par exemple, de là s'il s'agit d'aller taper une base de donnée pourquoi ne pas l'attaquer sur son port réseau directement ou en proxyfiant les requêtes à travers un tunnel ssh ? plus de problème de scripts oubliés chez le client

    enfin chercher à protéger une poignée de requêtes sous prétexte que c'est son gagne-pain, c'est un peu faire l'avoeu que l'humain n'a aucune valeur ajoutée et que son job est fragile et transférable à n'importe qui, alors que ce qui fait le salaire c'est plutôt censé être l'expertise de l'humain, sans quoi on prend le risque de se faire remplacer par un stagiaire dont le seul rôle est de cliquer sur un bouton au bon moment, voire directement par un robot...
    Bonjour,

    En fait généralement on ne négocie pas d'accès car il faut faire des demandes d'ouverture de flux et de rajout de ta bécane sur leur parc.
    Soit c'est refusé, soit c'est pas fait à temps. Donc dans la plus-part du temps ta clef usb te sauve la vie .
    => Le client fournit bien souvent un poste de travail.
    Si je peux le faire à distance c'est la classe !

    Ce n'est pas seulement les requêtes que je protège mais aussi tout le travail d'automatisation et d'agrégation que je fais.
    Si je vends des audits plusieurs JH que j'ai mis X JH à automatiser, il est normal que je ne donne pas mes sources.
    Si je suis sur place, j'en profite (pendant que mes outils tournent) pour questionner le client sur son environnement, ses problèmes pour lui apporter mon expertise et des solution, aller voir les DBA etudes etc ...

    Ensuite, le temps que je ne perds pas a faire des copiers coller et me bruler les yeux en lisant des logs est investi dans de la veille technologique si je suis a distance. On est bien d'accord que si il n'y a pas d'analyse humaine dernière mon boulot ne sert a rien.

    Même en donnant mes requêtes à d'autres DBA, beaucoup ne verrons pas tous les points de contentions et/ou problèmes de l'instance.
    Je vends donc ici mon expertise et je ne veux pas me faire piquer mon effort d'industrialisation par mes confrères .

    Il existe des produits d'audit automatisés exfoglight/spotlight for SQL Server/SQL Rap).
    Mais soyons honnêtes, si on mets une chèvre derrière, ça n'apportera rien.

+ Répondre à la discussion
Cette discussion est résolue.
Page 2 sur 2 PremièrePremière 12

Discussions similaires

  1. [Compiler] Créer un fichier exécutable à partir de MATLAB
    Par Arnaud07 dans le forum MATLAB
    Réponses: 3
    Dernier message: 09/11/2011, 15h59
  2. comment créer un fichier exécutable sur windows ce .NET
    Par Fadwa_Ing dans le forum Java & Mobiles
    Réponses: 1
    Dernier message: 29/06/2009, 10h28
  3. Créer un fichier .jar exécutable avec Eclipse
    Par Bloodscalp dans le forum Eclipse Java
    Réponses: 21
    Dernier message: 23/05/2009, 00h22
  4. Crer un fichier exécutable avec JBuilder
    Par lordofboss2 dans le forum JBuilder
    Réponses: 4
    Dernier message: 22/04/2009, 19h40
  5. [LabVIEW 8.5] Créer un fichier exécutable
    Par sliminformatique dans le forum LabVIEW
    Réponses: 1
    Dernier message: 28/08/2008, 11h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo