Discussion :

[sovo]

Bonjour a tous

voila j'ai une question liée à la sécurité.

Voila en ce moment je développe une application qui attaque une base de donné MySQL. Dans un soucis de paramétrage "extrême" de l'application. Vue que le compte et le mot de passe peuvent changer d'un jour à l'autre, je ne voudrais pas les mettre en dur dans l'appli, mais alors je devrais retoucher l'appli a chaque modification. Alors pour ce faire je les mets en clair dans un fichier de configuration. seul problème y'a pas vraiment de sécurité, car en ouvrant mon fichier TOUT le système est à terre.

Ma question est alors quel methode me conseillerais vous ?

[Marco46]

Tu devrais lire ce thread.

[sovo]

Merci pour le lien. Ça me rassure dans mes idées.

En effet je venais ici juste pour pouvoir confirmer mes idées. En fait il y avais 2 proposition que j'avais.
la première était crypter le mot de passe (ce qui au vu des réactions, je vais adopter)

la deuxième était de mettre tout ca en clair dans la base des registres, très peu consulté.

Je vais dans quel mesure je vais faire une compilation des 2, c'est à dire crypter et mettre dans la base de registre

[Marco46]

N'oublie pas que pour crypter un mot de passe il faut ... un mot de passe.

C'est tout le problème.

[sovo]

N'oublie pas que pour crypter un mot de passe il faut ... un mot de passe.

rassure toi j'y ai pensé , c'est vrai que j'hésite avec un hachage (MD5 ou SHA)

[Invité]

rassure toi j'y ai pensé , c'est vrai que j'hésite avec un hachage (MD5 ou SHA)

Salut,

Ne pas oublier que si tu hashes ton mot de passe, tu ne peux pas retrouver le mot de passe original (fonction à sens unique). Or pour te connecter à ta base de donnée il faut le mot de passe original, pas le hash. Encore que certains LDAP autorisent à faire toi même le hash avant de l'envoyer (car le mot de passe est hashé pour être stocké dans le LDAP et le server compare les hashs (comme c'est très souvent fait, notamment sur les systèmes *nix)), MySQL hashe aussi ses mots de passe pour les stocker, peut-être peux tu lui envoyer le hash irectement mais là autre problème : si tu peux t'authentifier avec le hash et que le hash est stocké dans la base de registres, c'est comme si tu stockais le mot de passe en clair
En bref, si tu veux sécuriser vraiment, il te faut demander à chaque démarrage (au minimum) un mot de passe maître qui permettra de décrypter tous les mots de passe dont ton appli a besoin, sinon il n'y a pas de vraie solution sûre.

A plus