Discussion :

[Benzeghiba]

Bonjour,

J'utilise une chaine de connexion dans mon web.config pour accéder à SQL Server. Cette chaine d econnexion a le format suivant :

Server=myServerAddress;Database=myDataBase;User ID=myUsername;Password=myPassword;

Ce qui me dérange c'est que le mot de passe y est indiqué en clair.
En effectuant une recherche j'ai trouvé que je peux crypter toute la section connectionStrings de mon web.config grâce à la commande :

aspnet_regiis -pef "connectionStrings" chemin

Or moi je préfère garder cette section en clair et crypter uniquement le mot de passe. Est-ce possible ? comment procéder ?!

Merci par avance,

[benji_dv]

Ok alors, pour faire simple :
Tout dépend du niveau de cryptage que tu veux obtenir,
s'il faut "juste" rendre illisible la chaine, rien ne t'empèche d'utiliser un binaryWriter / binaryReader pour crypter ta chaine (il s'agit juste d'un cryptage humain.

Si par contre tu veux aller plus loin, le framework dispose de toute une panoplie de classes de cryptage dans le namespace System.Security.Cryptography.
Exemples : RijndaelManaged, AesManaged, DES, etc (pour un cryptage symétrique)

Dans les deux cas, tu vas devoir centraliser la méthode qui crée les SqlConnection (méthode statique appelée partout où tu as besoin de récupérer un objet de connection.

Cette méthode doit réaliser ceci :
Dispose-je d'une chaine de connexion déjà décriptée ?

* NON :
- récup de la chaine de cnn,
- instanciation de la sqlconnection,
- remplacement du mot de passe de la sql connection par sa version décryptée,
- garder trace de la chaine de connection avec le mot de passe décrypté,
- retourne la sql cnn,

* OUI
- retourne la sql cnn

voilou

[Benzeghiba]

Je comprends donc qu'il n y a pas déjà de mécanisme prédéfini et qu'il faut "réfléchir" pour en trouver un. Dans ton exemple, supposons que je crypte le mot de passe avec un algorithme symetrique (3-DES), quel est le meilleur endroit pour enregistrer la clé de cryptage/decryptage ?!

Ce que je crains, c'est que quelqu'un qui désassemble mon code puisse déterminer où est stocké ma clé ainsi que l'algorithme de cryptage utilisé, et il n'aura aucun problème à decrypter le mot de passe qui est dans ma chaine de connexion.

[benji_dv]

J'ai eu a réaliser ca une fois, pour crypter la chaine deux options :

1) tu prévois dans ton application, style module admin, des champs pour saisir les informations de connextion, et tu enregistres dans ta config (on peut le faire via l'objet renvoyé par ConfigurationManager.OpenExeConfiguration () )

2) tu prévois un outil extérieur à l'application qiu permet de crypter ...

perso je préfère la solution 1

Concernant le désassemblage : ya plein d'outils d'obfuscation efficaces (gratuit ou payant), moi j'utilise Crypto Obfuscator for .net (payant). mais inviolable (reflector plante lorsqu'il tente d'analyser l'assembly).

[Benzeghiba]

Merci,

[cinemania]

en meme temps tu parle là d'un web.config...

on parle donc d'un applicatif typiquement ASP.NET ou hébergé sur IIS...
si tel est le cas, le web.config ne traverse pas le réseau et sa consultation depuis l'extérieur est impossible si ASP.NET est activé sur IIS.
donc que le mot de passe soit en clair... c'est pas particulièrement gênant, meme en hébergement mutualisé, car à part les admins... personne n'y a accès et de toute facon ya fort à parier qu'ils te fournissent la base aussi à contacter, donc la chaine de connexion, ils doivent la connaitre aussi...

Ensuite si tu veux vraiment protéger dans ce cas la partie chiffrée de ta config... envisage un obfuscateur de code payant genre XENOCODE qui va transformer ton code en code natif et l'obfusquer... là on pourra dire que à moins d'être vraiment acharné... tu aura déjà dissuadé la majorité des personnes...
et donc tu pourra utiliser n'importe quelle méthode de chiffrage/déchiffrage...