Annonce

Rduire
Aucune annonce.

Accs une BDD : scuriser son code source

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Accs une BDD : scuriser son code source

    Bonjour,

    Quelles sont selon vous les meilleures techniques adopter pour cacher l'accs et donc l'identification une base de donne sql distante depuis un programme ?

    Par exemple un programme VB.NET qui accde une bdd distante, et qui contient donc les identifiants....
    De plus les IP des clients ne sont pas prvisibles l'avance car n'importe qui peut se procurer une copie du logiciel...

    Comme a je pensait gnrer un nombre unique spcifique une algo, du type carte bancaire. Qu'en pensez-vous et surtout comment feriez-vous ?

    Merci !

  • #2
    UP please... !!

    Commentaire


    • #3
      Mais normalement l'utilisateur n'entre pas son mot de passe que lors de l'utilisation du logiciel ?

      Une connexion une BDD ne se fait pas avec un mot de passe en clair dans un code.

      Commentaire


      • #4
        Ca peut arriver dans skype par exemple.

        Mais ici c'est un logiciel qui collecte en tche de fond des infos et les envoie sur le serveur. Par exemple un antivirus qui fait son boulot et envoie des rapports d'erreur ou de scan, ou encore un jeu android sans compte & identifiants qui envoie les stats de joueurs et la golocalisation l'entreprise !

        Comment font ses programmes ?
        Dernire modification par bilboy69, 07 novembre 2015, 22h41.

        Commentaire


        • #5
          Mais ici c'est un logiciel qui collecte en tche de fond des infos et les envoie sur le serveur.
          Oui il collecte les infos que tu lui auras donn en tant qu'utilisateur pour les envoyer au serveur.

          Par exemple un antivirus qui fait son boulot et envoie des rapports d'erreur ou de scan
          Je ne comprend pas, pour faire cela, il n'y a pas besoin de mot de passe pour se connecter quoi que se soit, je commence tre perdu...

          ou encore un jeu android sans compte & identifiants qui envoie les stats de joueurs et la golocalisation l'entreprise !
          Il me semble que si tu as install ce jeu, tu as accept les conditions au pralable permettant de rcuprer tes informations pour s'en servir par la suite. Leur principe est de crer un fichier de configuration qui permettra de recevoir un code, un mot de passe crypt ou autres afin d'tre reconnu par le serveur pour se connecter la base.

          Je pense que le serveur va chercher dans ce fichier de configuration le mot de passe crypt et fait son test d'acceptation la base.

          Commentaire


          • #6
            Envoy par fred Voir le message
            Je ne comprend pas, pour faire cela, il n'y a pas besoin de mot de passe pour se connecter quoi que se soit, je commence tre perdu...
            Si il les envoi sur un serveur, c'est bien sur une base de donne non ? et donc il doit bien s'y connecter ? ...donc il doit s'identifier ?
            Que n'ai-je pas compris ?

            Autre exemple si je ne suis pas assez clair : un virus qui collecte des donnes comme par exemple des mots de passe qu'il envoie sur la base de donne du pirate. L'exemple me semble meilleur car l'utilisateur n'a pas approuv l’excution de ce programme, qui doit bien se connecter une base, mais sans divulguer les MDPs contenus dans le code source (ou pas..) car le pirate veut protger son serveur des white hat.


            Voil en gros mon raisonnement, dsl je dbute dans le remote sql et je me suis pos spontanment cette question sans avoir forcment une bonne vision du fonctionnement d'ensemble.

            Commentaire


            • #7
              Si il les envoi sur un serveur, c'est bien sur une base de donne non ?
              Non, c'est une appli ct serveur qui s'occupe de rcuprer les donnes envoyes par le client pour faire les oprations sur la BDD.

              L'utilisateur lui, ne doit jamais tre en interaction directe avec la base de donnes.

              Commentaire


              • #8
                D'accord. Donc comment l'app ct serveur s'assure que l'utilisateur est valide ?
                Et donc comment masquer l'identification aux reverse enginneers ?

                Commentaire


                • #9
                  Il va rechercher les donnes sur ton disque, les comparer sa bases de donnes

                  Et donc comment masquer l'identification aux reverse enginneers ?
                  Quand la base va lire les donnes, elle va analyser ces lignes (parser) et non les excuter, et lorsqu'on utilise ces donnes pour l'identification, moins d'une faille de la base, il n'y a que trs peu de chances de faire du reverse, tant donn que les mthodes d'identification ne sont l que pour identifier.

                  Commentaire


                  • #10
                    En effet l a parait plus simple et scuris.
                    Merci !

                    Commentaire

                    Chargement...
                    X