Discussion :

[Roy Miro]

Bonjour,

Mon application se connecte à une BD MySQL. Bien entendu, elle s'y connecte avec un nom d'utilisateur et un mot de passe. Je ne dois pas coder ces identifiants en dur dans le code source de l'application: sinon l'utilisateur est obligé de modifier le code source et de recompiler l'application en cas de changement.

Dans le cas où le mot de passe à la BD change, l'utilisateur devrait pouvoir communiquer à l'application les nouveaux identifiants pour que cette dernière puisse se connecter. J'ai pensé à permettre cela en laissant les identifiants dans un fichier txt. L'application consulterait ce fichier à chaque éxécution et récupère donc le nom d'utilisateur et mot de passe valides.

Le problème: cela laisse le couple pseudo/mdp en clair (il suffit d'ouvrir le fichier txt), comment résoudre une telle lacune?

Merci

[CyberChouan]

Et les utilisateurs de l'application ne sont pas supposés connaître le mot de passe en question?

En général, les paramètres de connexion sont effectivement stockés en dehors de l'application, en clair. Et plutôt qu'un fichier txt, je te suggère un fichier "properties", plus approprié.

Si tu veux vraiment quelque chose d'un peu plus sécurisé (sans être une panacée), tu utilises un système de cryptage réversible, dont la clé est cachée en dur dans tes sources. Ton fichier properties contient le login en dur et la version cryptée du mot de passe. Pour changer ce dernier, tu proposes une interface de modification depuis ton application qui enregistrera le mot de passe crypté à partir du mot de passe en clair entré par l'utilisateur le connaissant.

[Roy Miro]

Merci CyberChouan, c'est une bonne idée que d'écrire un algorithme dans le code source et de proposer une interface pour les changements de passwords