Discussion :

[viny]

Bonjour,

Est-ce que cela sert vraiment, selon vous, à crypter/décrypter certaines données dans une base de données ?

Je m'explique, si la base de données est piratée, alors c'est que le site Web l'est aussi. On a forcément les identifiants de connexion donc un accès au site et aux algos de cryptage finalement à tout !

Par conséquent, la sécurité n'est-elle pas une protection absolue aux répertoires contenant les fichiers de configurations plutôt qu'à l'encryptage des données stockées en base ?

merci

[nako]

[...]Je m'explique, si la base de données est piratée, alors c'est que le site Web l'est aussi. On a forcément les identifiants de connexion donc un accès au site et aux algos de cryptage finalement à tout ![...]

Salut,
il y a (à mon sens) une petite faille dans ton raisonnement.
1°) Ce n'est pas parce que tu as réussi à "pirater" la base de données que tu as accès aux sources du site (quand bien même les sources du sites seraient situées sur le même serveur que la base de données)
2°) "On a forcément les identifiants de connexion" > en général, les login sont stockés en clair dans la base de données, donc, oui, tu (enfin le pirate ) as accès aux logins des membres. Par contre, en général, les mots de passe sont encryptés, et l'astuce, c'est que l'algo d'encryptage comme tu l'appelle est à sens unique. C'est à dire qu'il s'agit d'une fonction très difficilement inversable.
Il est clair que si tu as un algo fait maison (et facilement inversable), qu'en plus tu as les codes source de l'algo, ta fonction de cryptage va pas faire long feu.
Heureusement, il existe des fonctions assez bien faites et disons "standards", comme MD5. Attention, je ne dis pas que MD5 est incassable, mais il faudra un peu de temps et de persévérance pour ça, et ça devrait suffir pour protéger ton site web.

J'espère avoir été clair.
N'hésite pas à demander des eclaircissement sinon.
a+, nako.

[viny]

Si tu as réussi à pirater la base de données c que tu as les identifiants de connexion à la base et qui te permettent d'y accéder...donc va pas falloir longtemps pour avoir accès au site. Tu les dis toi-même

Il est clair que si tu as un algo fait maison (et facilement inversable), qu'en plus tu as les codes source de l'algo, ta fonction de cryptage va pas faire long feu.

Autre chose, il est vrai que si tu utilises md5() pour crypter tes mots de passe cela rend l'affaire un peu plus difficile. Mais comme j'utilises un algo de cryptage et decryptage nécessaire pour mon application car je dois à la demande du client renvoyer ces identifiants de connexion (Mote de passe et pseudo).

Par conséquent md5() est inutilisable dans mon cas...

[julien.63]

je dois à la demande du client renvoyer ces identifiants de connexion

salut,
ou alors tu changes de stratégie en recréant un nouveau mot de passe quand le client les a perdu.


Mais la question que je me pose alors c'est: Est ce que le pirate peut faire un update de la base de données pour changer le champ "password" par ce qu'il veut et ainsi accèder au site?

[viny]

exactement il peut le faire ! tu crées un md5 de ton mot de passe et tu l'insères dans les champs mot de passe de la base et le tour est joué

[Mr N.]

Il faut savoir aussi que les utiisateurs utilisent les mêmes mots de passe sur plusieurs sites différents. Et savoir que mon mot de passe que j'utilise ailleurs est stocké en clair me rend un poil paranoiaque...

Et de toutes façons, deux précautions valent mieux qu'une