Bonjour,

Je travaille sur un projet Forms 6i/Oracle 8i et nous nous posons des questions quand à la sécurisation de l'accès à notre appli.
Pour faire simple, l'utilisateur lance l'appli en exécutant un fichier bat contenant entre autres la chaine de connexion à la base Oracle. Cette chaine est utilisée en paramètre de l'appel à ifrun60.EXE qui lance l'appli forms proprement dite.

A partir de là une fenêtre de connexion (Forms) s'ouvre demandant à l'utilisateur de renseigner son login/mdp (différent de la chaine de connexion : de ce login/mdp dependent des autorisations d'acces sur certains ecrans). Le mdp est crypté (DBMS_OBFUSCATION_TOOLKIT) et comparé aux mdp cryptés stockés dans une table afin de s'avoir si l'on peut lui laisser un libre accès à l'appli.
Cela nous paraissait très bien jusqu'à ce que nous nous rendions compte qu'en éditant le fichier bat, un utilisateur averti aurait vite fait de récuperer la chaine de connexion et de se connecter à la base sous SQL*Plus et là ca pourrait être le drame (du moins pour les DBA )

Du coup, nous avons changé notre fusil d'épaule : l'idée est de faire en sorte que la chaine de connexion située dans le bat pointe vers un schema restreint ayant un droit SELECT sur la table d'authentification. Si l'authentification est validée, alors on connecte, dans forms, l'utilisateur sur le 'bon' schema...

De mon coté, je trouve que c'est beaucoup de bruit pour rien et je me demande si ce classique probleme de controle d'acces n'a pas une solution plus simple...

Qu'en pensez vous ?