Envoyé par
tchize_
si il n'y a pas une information qui viens de l'utilisateur (directement ou indirectement) n'importe qui disposant du logiciel et du fichier obfusqué peut avoir tous les mots de passes. Si tu prend, par exemple, thunderbird ou firefox, la méthode est la suivante:
création d'un répertoire spécifique à la machine (ceci oblige à avoir un accès local potable pour trouver ce répertoire, ca limite un peu la récupération de données par injection de code, qui hardcodent bien souvent l'appel pour transmettre le contenu d'un fichier). C'est pas la panacée pour autant
"cryptage" des données et stockage de mot de passe dans un fichier séparé
Dans tous les cas, un utilisateur local a accès aux données sans problème.
Ton problème se mort la queue: comment permettre à l'utilisateur d'avoir accès sans mot de passe aux serveurs, tout en ne permettant pas aux gens de lire les tokens d'authentification...