Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Sécuriser un mdp enregistré dans un fichier XML
Salux !
J'ai un mdp de connexion à une BDD qui est stocké (ainsi qu'identifiant/hôte/etc) dans un fichier .xml, seulement voilà, c'est pas très sécurisé en texte plain...
Je cherche une tite solution pas trop compliquée à mettre en œuvre pour chiffrer tout ça.
PS : je débute dans le domaine de la sécurité, tout ce que je sais faire c'est utiliser la fonction MD5() en SQL
C'est normal...
Quand une application a besoin de se connecter à une base de données, elle a besoin du login et du mot de passe de celle-ci.
Dans ce cas, la sécurité consiste plus à gérer les différents comptes au niveau de la base de données : un compte et un tablespace dédié par application, avec des droits limités (en particulier pas d'exécution de la commande "grant").
Arf, ce n'était pas ma question
J'ai le mdp enregistré dans le fichier XML, comment est-ce que je peux faire pour qu'il ne soit plus en texte plein ?
Tu peux crypter ton mot de passe si tu veux... mais il va falloir le décrypter, et donc utiliser un autre mot de passe, qui lui sera stocké... où ? comment ? le problème a simplement été déplacé
Dès qu'un programme a besoin d'un mot de passe, et qu'il faut donc le stocker quelque part, on a une faille potentielle de sécurité.
Quelques solutions pour les réduire au minimum :
- limiter les actions possibles avec le mot de passe, comme l'a indiqué CyberChouan, afin de limiter les dégâts potentiels
- jouer sur les autorisations de lecture sur ton fichier : si seul l'utilisateur bli a les droits pour lire le fichier, alors l'application ne pourra le lire que si elle a été lancée par l'utilisateur bli (système linux)
Sauf que c'est une appli cliente installée sur des postes Win...
De toute façon je ne cherche pas une solution 100% secure, tout ce que je veux, c'est que si qqun ouvre le fichier xml il n'ait pas les accès à la BDD en 30 secondes...
Donc si j'ai compris, je crypte le mdp et la clé est une constante de l'appli ?
Moi ça me va sur l'idée, mais il faut utiliser quoi ?
Bonjour,
Je suis déjà passé par le même chemin, le problème c'est qu'il faut utiliser le cryptage symétrique : utiliser La même clé pour crypter et pour décrypter!
mais comme a précisé Astartee, il faut stoquer la clé quelque part.
Perso j'ai couru le risque de la sauvegarder dans le code tout simplement
pour l'api je te conseille vivement l'API Jasypt
Merci pour les infos ! Je vais me renseigner.
PS : ton lien est cassé
cassé?? pour moi ça marche nickelEnvoyé par manudwarf
Merci pour les infos ! Je vais me renseigner.
PS : ton lien est cassé
voilà le lien en claire http://www.jasypt.org/
tu peux le télécharger ici http://sourceforge.net/project/showf...roup_id=183612
C'est bon, je ne sais pas quelle mouche a piqué mon PC...
Bref, merci à tous, et bonne journée
Répondre avec citation
Partager