Discussion :

[ABD-Z]

Oui mais on verra tout de même ses requêtes sql, non ?

Effectivement, puis que ce sont de simples chaînes de caractères....
Faut faire de la crypto...

On stocke des requêtes cryptées, bien cryptées voire très très bien cryptées, et ensuite on décrypte lorsqu'on a besoin...

Après, tant qu'on parle de crypto, il est possible de crypter tout un logiciel entier et de le décrypter lors de son exécution... Mais là je ne sais pas comment faire ce genre de chose

[BufferBob]

Après, tant qu'on parle de crypto, il est possible de crypter tout un logiciel entier et de le décrypter lors de son exécution... Mais là je ne sais pas comment faire ce genre de chose

c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate) et il peut arriver que ce soit détecté par certains antivirus comme des faux positifs

j'avoue qu'à ce stade perso j'ai toujours pas compris de quoi il était question, "créer un fichier pour auditer" ?? exécuter des requêtes sql ok, mais ça veut dire quoi, livrer le script python avec un sgdb sql ? et on entend quoi par "audit", un audit de sécu ? qu'est-ce qu'on protège concrètement, lesdites requêtes sql ?

[ABD-Z]

c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate)

Certes mais ça rendrait la chose fort compliqué. Les jeux sur bornes d'arcade CPS-2 et 3 ont été tellement bien crypté qu'on a attendu dix ans minimum pour voir au jour un émulateur. (l'émulation a eu lieu grâce à une faille dans un certain jeu sur CPS changer je crois..)

[AlternantOracle]

Article intéressant AlternantOracle, mais codes-tu de cette manière, comme cela par exemple :

Une boucle normal :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
# o r i g i n a l  loop
for  expr0  in expr1:
    work()

Tu la fais comme ça pour l’offusquer comme décrit dans le pdf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
from  __builtin__  import iter as  my_iter
# obfuscated  loop
var = my_iter(expr1)
while 1:
    try:
        expr0 = var.next()
    except  StopIteration:
        break
    work()

Codes-tu de cette manière-là?
As-tu compris l'intérêt de cette complication?

Oui tout a fait j'ai déjà vu ce genre de techniques pour rendre le code illisible.

c'est le principe des packers, comme UPX, mais ça n'arrête pas un cracker déterminé (au contraire c'est précisément ce qui l'éclate) et il peut arriver que ce soit détecté par certains antivirus comme des faux positifs

j'avoue qu'à ce stade perso j'ai toujours pas compris de quoi il était question, "créer un fichier pour auditer" ?? exécuter des requêtes sql ok, mais ça veut dire quoi, livrer le script python avec un sgdb sql ? et on entend quoi par "audit", un audit de sécu ? qu'est-ce qu'on protège concrètement, lesdites requêtes sql ?

Pour être clair, Je veux juste développer mon toolkit DBA et qu'il ne soit pas lisible et/ou pourquoi pas le rendre inexploitable si je l'oubli sur un serveur client.
=> d'ailleurs d'où une de mes questions liées à l'autodestruction possible ou non d'un exe.
Pourquoi du coup ? Parce que je suis une gros faignasse et que j'aime tout automatiser sans me faire piquer mon travail .

[wiztricks]

Effectivement, puis que ce sont de simples chaînes de caractères....
Faut faire de la crypto...

Vous pourrez toujours crypter... il faudra quand même les expédier en clair et on pourra les voir passer sur le réseau ou dans des logs du SGDB.

- W

[Michel]

Bonjour,
Cela me parait difficile d'empêcher quelqu'un de compètant de voir les requêtes sql effectuées sur son serveur !
Sur le plan légal, aller récupérer des informations chez un client sans qu'il puisse connaître la nature de ce que vous avez récupéré , cela me semble un peu limite !
Je ne vois pas comment vous pourriez refuser, si le client demande la liste des requêtes effectuées sur son serveur.
Donc, la seule solution est bien, comme on vous l'a suggéré, d'effectuer le maximum de traitements chez vous.

[AlternantOracle]

Vous avez bien raison je n'ai pas pensé a ce détail, c'est pourtant enfantin de récupérer des requêtes SQL passé sur une instance avec des traces.
Je pense que je vais lancer des requêtes simples et les agréger après, merci pour ce précieux conseil.

[BufferBob]

Certes mais ça rendrait la chose fort compliqué. Les jeux sur bornes d'arcade CPS-2 et 3 ont été tellement bien crypté qu'on a attendu dix ans minimum pour voir au jour un émulateur. (l'émulation a eu lieu grâce à une faille dans un certain jeu sur CPS changer je crois..)

oui enfin on parle d'une époque ou les gens qui essayaient de cracker ledit système se comptaient sur les doigts d'une main, où une petite partie de la population seulement commençait à avoir accès à internet et à l'information tout azimut, et où même parmi ceux qui avaient la technicité suffisante, le sujet n'intéressait probablement qu'une minorité, depuis les protections logicielles n'ont en général pas tenu plus de quelques mois, le secteur du jeux vidéo est un bon exemple

en l'occurrence UPX ça s'unpack en 5min, mais son propos est plus de compresser les données et les intégrer dans un binaire unique, la couche de chiffrement est accessoire, les protections plus complexes et un tant soi peu efficaces ont un coût, souvent élevé, et ne pourront de toutes façons pas s'appliquer à un code Python
de même l'obfuscation du code source est très probablement inutile, puisqu'au bout du compte c'est le bytecode qui transite, et depuis le bytecode Python on récupère très bien le code d'origine, mais dans l'intervalle il est possible que les obfuscations aient été perdues

aussi et comme dit plus haut, si le propos est d'aller chez le client, en général on ne débarque pas avec ses scripts dans les bras en demandant où on peut les poser, on négocie plutôt un accès au réseau pour son laptop par exemple, de là s'il s'agit d'aller taper une base de donnée pourquoi ne pas l'attaquer sur son port réseau directement ou en proxyfiant les requêtes à travers un tunnel ssh ? plus de problème de scripts oubliés chez le client

enfin chercher à protéger une poignée de requêtes sous prétexte que c'est son gagne-pain, c'est un peu faire l'avoeu que l'humain n'a aucune valeur ajoutée et que son job est fragile et transférable à n'importe qui, alors que ce qui fait le salaire c'est plutôt censé être l'expertise de l'humain, sans quoi on prend le risque de se faire remplacer par un stagiaire dont le seul rôle est de cliquer sur un bouton au bon moment, voire directement par un robot...

[AlternantOracle]

oui enfin on parle d'une époque ou les gens qui essayaient de cracker ledit système se comptaient sur les doigts d'une main, où une petite partie de la population seulement commençait à avoir accès à internet et à l'information tout azimut, et où même parmi ceux qui avaient la technicité suffisante, le sujet n'intéressait probablement qu'une minorité, depuis les protections logicielles n'ont en général pas tenu plus de quelques mois, le secteur du jeux vidéo est un bon exemple

en l'occurrence UPX ça s'unpack en 5min, mais son propos est plus de compresser les données et les intégrer dans un binaire unique, la couche de chiffrement est accessoire, les protections plus complexes et un tant soi peu efficaces ont un coût, souvent élevé, et ne pourront de toutes façons pas s'appliquer à un code Python
de même l'obfuscation du code source est très probablement inutile, puisqu'au bout du compte c'est le bytecode qui transite, et depuis le bytecode Python on récupère très bien le code d'origine, mais dans l'intervalle il est possible que les obfuscations aient été perdues

aussi et comme dit plus haut, si le propos est d'aller chez le client, en général on ne débarque pas avec ses scripts dans les bras en demandant où on peut les poser, on négocie plutôt un accès au réseau pour son laptop par exemple, de là s'il s'agit d'aller taper une base de donnée pourquoi ne pas l'attaquer sur son port réseau directement ou en proxyfiant les requêtes à travers un tunnel ssh ? plus de problème de scripts oubliés chez le client

enfin chercher à protéger une poignée de requêtes sous prétexte que c'est son gagne-pain, c'est un peu faire l'avoeu que l'humain n'a aucune valeur ajoutée et que son job est fragile et transférable à n'importe qui, alors que ce qui fait le salaire c'est plutôt censé être l'expertise de l'humain, sans quoi on prend le risque de se faire remplacer par un stagiaire dont le seul rôle est de cliquer sur un bouton au bon moment, voire directement par un robot...

Bonjour,

En fait généralement on ne négocie pas d'accès car il faut faire des demandes d'ouverture de flux et de rajout de ta bécane sur leur parc.
Soit c'est refusé, soit c'est pas fait à temps. Donc dans la plus-part du temps ta clef usb te sauve la vie .
=> Le client fournit bien souvent un poste de travail.
Si je peux le faire à distance c'est la classe !

Ce n'est pas seulement les requêtes que je protège mais aussi tout le travail d'automatisation et d'agrégation que je fais.
Si je vends des audits plusieurs JH que j'ai mis X JH à automatiser, il est normal que je ne donne pas mes sources.
Si je suis sur place, j'en profite (pendant que mes outils tournent) pour questionner le client sur son environnement, ses problèmes pour lui apporter mon expertise et des solution, aller voir les DBA etudes etc ...

Ensuite, le temps que je ne perds pas a faire des copiers coller et me bruler les yeux en lisant des logs est investi dans de la veille technologique si je suis a distance. On est bien d'accord que si il n'y a pas d'analyse humaine dernière mon boulot ne sert a rien.

Même en donnant mes requêtes à d'autres DBA, beaucoup ne verrons pas tous les points de contentions et/ou problèmes de l'instance.
Je vends donc ici mon expertise et je ne veux pas me faire piquer mon effort d'industrialisation par mes confrères .

Il existe des produits d'audit automatisés exfoglight/spotlight for SQL Server/SQL Rap).
Mais soyons honnêtes, si on mets une chèvre derrière, ça n'apportera rien.