Discussion :

[philouZ]

Bonjour à tous,

Une faille de sécurité a été détectée sur la base HFSQL, voir ce thread (https://forum.pcsoft.fr/fr-FR/pcsoft...15640/read.awp)

Je pose en substance ce qui a été découvert avant que cela ne soit supprimé par PC Soft, leur équipe m'ayant empêché de poster mon message sous prétexte que cela concerne la sécurité.

Pour la casse :
J'ai créé un projet avec un fichier (Fic1). Ensuite dans le code d'initialisation du projet voici le code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Vl_Connexion est une Connexion
 
Vl_Connexion ..Utilisateur = xxx
Vl_Connexion ..MotDePasse = xxx
Vl_Connexion ..Serveur = "127.0.0.1"
Vl_Connexion ..BaseDeDonnées="TestMDP"
Vl_Connexion ..Provider = hAccèsHFClientServeur
HChangeConnexion(FIC1,Vl_Connexion )
HCréationSiInexistant(FIC1,"ToTO") --> Fichier créé sur le serveur HFSQL
 
Ouvre le fichier (avec le CC HFSQL ou le MAP) en mettant comme MDP TOTO (alors qu'il doit être ToTO), ça passe sans problème !
 
 
 
Pour la fonction HchangeMotDePasse :
Vl_Connexion est une Connexion
 
Vl_Connexion ..Utilisateur = xxx
Vl_Connexion ..MotDePasse = xxx
Vl_Connexion ..Serveur = "127.0.0.1"
Vl_Connexion ..BaseDeDonnées="TestMDP"
Vl_Connexion ..Provider = hAccèsHFClientServeur
HChangeConnexion(FIC1,Vl_Connexion )
 
//HCréationSiInexistant(FIC1,"ToTO") --> le fichier existe déjà
 
//HPasse(FIC1,"ToTO") --> Mise en commentaire alors que cela doit être obligatoire pour modifier le mdp
HChangeMotDePasse(FIC1,"tutu") --> réouvre ton fichier avec tutu en mdp ça fonctionne !

Ça va même bien au delà de simplement la casse, pour reprendre ton exemple si tu mets "TOTO" comme mot de passe, tu peux l'ouvrir avec "7oto".
Et pour confirmer c'est comme cela depuis bien longtemps (la version 7 si ma mémoire est bonne)

[Invité]

J'ai testé par rapport à la casse, effectivement, elle n'est pas prise en compte, je ne l'aurais jamais imaginé...
Et concernant le mot de passe sur l'analyse, ça donne quoi?

EDIT: en revoyant le code de mon unique projet qui fait appel à une bdd en HFSQL CS, j'avais mis cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
l_pwdClair est une chaîne=DecrypteDonnee(l_pwdCrypte)
 
l_key est une chaîne=FonctionsCryptage.DecrypteDonnee("WhapHc6/srA=")
 
HPasse("*",l_key)
 
SI HErreurMotDePasse() ALORS
	HChangeMotDePasse(UtilisateursInterface,l_key)
	HChangeMotDePasse(DonneesSalaries,l_key)
	HChangeMotDePasse(CodesEntiteInterim,l_key)
	HChangeMotDePasse(CodesEntiteSalarie,l_key)
	HChangeMotDePasse(ConnexionAnnuaireAD,l_key)
FIN

Et c'est dans un projet fait en webdev 22, version 63k ... effectivement, la sécurité, c'est fragile

[Lo²]

Carrément intéressant mais je comprend totalement que PCSoft n'ait pas voulu que ce soit diffusé, ça permet clairement de cracker n'importe quelle appli :~

[Invité]

Autre point que j'avais remarqué et toujours avec webdev, mais cette fois ci, c'est avec le centre de contrôle d’hébergement Webdev, quand on regarde le paramétrage d'un compte utilisateur, dans mon cas, le compte admin :