IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage Delphi Discussion :

Cacher un mot de passe dans l'application


Sujet :

Langage Delphi

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Mai 2011
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2011
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Cacher un mot de passe dans l'application
    Bonjour,

    Voici mon dilemme :
    J'utilise les composants Indy FTP afin de créer une connexion FTP et d'envoyer/recevoir automatiquement certains fichier à partir de mon appli sur un serveur perso FTP.
    Il me faut donc les login / mot de passe de mon compte perso FTP que je fournis au composant TIdFTP.

    Pour le moment, je stocke en clair ces deux informations dans le code source de mon projet Delphi.
    Mais je vois là une énorme faille de sécurité si un utilisateur désire décompiler / désassembler / faire un reverse engineering de mon application : les chaînes de caractère seront forcément en clair !

    Question :
    Comment procéder pour cacher ou crypter un mot de passe dans mon code source pour que l'appli puisse se connecter à mon compte FTP, sans que l'utilisateur ait besoin de rentrer à aucun moment ces informations ?


    Merci d'avance !

  2. #2
    Membre expérimenté
    Avatar de ouiouioui
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Août 2006
    Messages
    984
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2006
    Messages : 984
    Points : 1 419
    Points
    1 419
    Par défaut
    il faut plutôt le faire à l'envers, tu crée un compte ftp anonyme ainsi plus de passe à rentrer.

    si tes fichiers sont sensible et que ton ftp est facilement paramétrable tu peux changer le passe toute les x heures et ton programme avant d'accéder au ftp il récupère le passe actuelle via le query d'une page par exemple.

    si l'utilisateur à un compte ou serial tu peux l'utiliser lors du query et tu crée un compte ftp temporaire lié à l'utilisateur comme sa tu sais qui fait quoi.

    Je ne répond pas à ta question car un pass même crypter il faut inclure une clé pour décrypter et elle sera en clair comme ton passe maintenant.
    Donc la avec un éditeur héxadécimal on trouve ton pass, et si crypter avec un désassembleur on trouve la clé. C'est léger comme solution
    Il existe 3 sortes de gens: ceux qui savent compter et ceux qui ne savent pas.

  3. #3
    Membre régulier
    Profil pro
    Chef de projet en SSII
    Inscrit en
    Février 2003
    Messages
    59
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chef de projet en SSII
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2003
    Messages : 59
    Points : 93
    Points
    93
    Par défaut
    Dans la même veine, pourquoi ne pas créer un compte utilisateur qui ne peut qu'uploader des fichiers? Même pas de List, rien, il ne fait qu'envoyer. Comme ça, à part t'envoyer des fichiers, rien ne sera possible.

    Ou peut-être, si tu as fait le serveur FTP avec des Indy, ajouter une commande de protection supplémentaire, genre après la connexion "normale", le serveur demande une clé cryptée qu'il est le seul à pouvoir décrypter, comme ça ton client ne fait qu'encoder, et c'est le serveur qui décode. Mais c'est un peu un bazooka pour tuer une mouche.
    ++ khena
    Rien n'est plus beau q'une clé,
    Tant qu'on ne sait pas ce qu'elle ouvre.

  4. #4
    Expert éminent
    Avatar de qi130
    Homme Profil pro
    Expert Processus IT
    Inscrit en
    Mars 2003
    Messages
    3 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 63
    Localisation : France

    Informations professionnelles :
    Activité : Expert Processus IT
    Secteur : Finance

    Informations forums :
    Inscription : Mars 2003
    Messages : 3 911
    Points : 6 032
    Points
    6 032
    Par défaut
    Citation Envoyé par Vanilys Voir le message

    Question :
    Comment procéder pour cacher ou crypter un mot de passe dans mon code source pour que l'appli puisse se connecter à mon compte FTP, sans que l'utilisateur ait besoin de rentrer à aucun moment ces informations ?


    Merci d'avance !
    Ca peut se faire + ou - laborieusement...

    On peut imaginer de disséminer dans le code des variables ou constantes (char ou integer) contenant un des caractères (ou sa valeur ascii qu'on peut incrémenter et décrémenter pour tromper le monde) permettant de reconstruire l'id et le psw.

    Mais je ne sais pas si ça résiste au reverse
    "Il n'y a pas de bonnes réponses à une mauvaise question." (M. Godet)
    -----------------------
    Pensez à cloturer votre sujet - Aucune réponse aux sollicitations techniques par MP
    Usus magister est optimus

  5. #5
    Membre régulier
    Profil pro
    Chef de projet en SSII
    Inscrit en
    Février 2003
    Messages
    59
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chef de projet en SSII
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2003
    Messages : 59
    Points : 93
    Points
    93
    Par défaut
    En y repensant, peut-être externaliser le mot de passe. Par exemple, le stocker de façon cryptée dans la base de registre. Comme ça, même si l'exe se balade ailleurs, le mot de passe n'est que sur le poste "actif". Et par exemple, si l'application ne trouve pas le mot de passe, elle propose un popup pour l'enregistrer dans la base de registre.
    ++ khena
    Rien n'est plus beau q'une clé,
    Tant qu'on ne sait pas ce qu'elle ouvre.

  6. #6
    Expert confirmé

    Profil pro
    Leader Technique
    Inscrit en
    Juin 2005
    Messages
    1 756
    Détails du profil
    Informations personnelles :
    Âge : 46
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Leader Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2005
    Messages : 1 756
    Points : 4 173
    Points
    4 173
    Par défaut
    De toute façon le protocole FTP n'est pas sécurisé.

    Il ne sera pas très difficile de poser un sniffer réseau pour retrouver le mot de passe utilisé.

  7. #7
    Membre expérimenté
    Avatar de ouiouioui
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Août 2006
    Messages
    984
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2006
    Messages : 984
    Points : 1 419
    Points
    1 419
    Par défaut
    on peut faire du ftp + ssl avec indy 10 c'est sécurisé, on en revient toujours au même aucune protection n'est infaillible faut juste savoir doser
    Il existe 3 sortes de gens: ceux qui savent compter et ceux qui ne savent pas.

Discussions similaires

  1. cacher le mot de passe stocké dans base données
    Par laurentSc dans le forum Langage
    Réponses: 5
    Dernier message: 16/12/2009, 21h33
  2. Réponses: 2
    Dernier message: 06/11/2008, 20h44
  3. mot de passe dans une application delphi
    Par Dark_Wishmaster dans le forum Delphi
    Réponses: 1
    Dernier message: 30/04/2007, 20h31
  4. [debutant] cacher un mot de passe
    Par Shooter dans le forum Composants
    Réponses: 5
    Dernier message: 13/07/2004, 12h17
  5. sécuriser le mot de passe dans une page asp
    Par Redouane dans le forum ASP
    Réponses: 2
    Dernier message: 10/03/2004, 21h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo