Discussion :

[Vanilys]

Bonjour,

Voici mon dilemme :
J'utilise les composants Indy FTP afin de créer une connexion FTP et d'envoyer/recevoir automatiquement certains fichier à partir de mon appli sur un serveur perso FTP.
Il me faut donc les login / mot de passe de mon compte perso FTP que je fournis au composant TIdFTP.

Pour le moment, je stocke en clair ces deux informations dans le code source de mon projet Delphi.
Mais je vois là une énorme faille de sécurité si un utilisateur désire décompiler / désassembler / faire un reverse engineering de mon application : les chaînes de caractère seront forcément en clair !

Question :
Comment procéder pour cacher ou crypter un mot de passe dans mon code source pour que l'appli puisse se connecter à mon compte FTP, sans que l'utilisateur ait besoin de rentrer à aucun moment ces informations ?


Merci d'avance !

[ouiouioui]

il faut plutôt le faire à l'envers, tu crée un compte ftp anonyme ainsi plus de passe à rentrer.

si tes fichiers sont sensible et que ton ftp est facilement paramétrable tu peux changer le passe toute les x heures et ton programme avant d'accéder au ftp il récupère le passe actuelle via le query d'une page par exemple.

si l'utilisateur à un compte ou serial tu peux l'utiliser lors du query et tu crée un compte ftp temporaire lié à l'utilisateur comme sa tu sais qui fait quoi.

Je ne répond pas à ta question car un pass même crypter il faut inclure une clé pour décrypter et elle sera en clair comme ton passe maintenant.
Donc la avec un éditeur héxadécimal on trouve ton pass, et si crypter avec un désassembleur on trouve la clé. C'est léger comme solution

[khena]

Dans la même veine, pourquoi ne pas créer un compte utilisateur qui ne peut qu'uploader des fichiers? Même pas de List, rien, il ne fait qu'envoyer. Comme ça, à part t'envoyer des fichiers, rien ne sera possible.

Ou peut-être, si tu as fait le serveur FTP avec des Indy, ajouter une commande de protection supplémentaire, genre après la connexion "normale", le serveur demande une clé cryptée qu'il est le seul à pouvoir décrypter, comme ça ton client ne fait qu'encoder, et c'est le serveur qui décode. Mais c'est un peu un bazooka pour tuer une mouche.

[qi130]

Question :
Comment procéder pour cacher ou crypter un mot de passe dans mon code source pour que l'appli puisse se connecter à mon compte FTP, sans que l'utilisateur ait besoin de rentrer à aucun moment ces informations ?


Merci d'avance !

Ca peut se faire + ou - laborieusement...

On peut imaginer de disséminer dans le code des variables ou constantes (char ou integer) contenant un des caractères (ou sa valeur ascii qu'on peut incrémenter et décrémenter pour tromper le monde) permettant de reconstruire l'id et le psw.

Mais je ne sais pas si ça résiste au reverse

[khena]

En y repensant, peut-être externaliser le mot de passe. Par exemple, le stocker de façon cryptée dans la base de registre. Comme ça, même si l'exe se balade ailleurs, le mot de passe n'est que sur le poste "actif". Et par exemple, si l'application ne trouve pas le mot de passe, elle propose un popup pour l'enregistrer dans la base de registre.

[Franck SORIANO]

De toute façon le protocole FTP n'est pas sécurisé.

Il ne sera pas très difficile de poser un sniffer réseau pour retrouver le mot de passe utilisé.

[ouiouioui]

on peut faire du ftp + ssl avec indy 10 c'est sécurisé, on en revient toujours au même aucune protection n'est infaillible faut juste savoir doser