UP please... !!

Mais normalement l'utilisateur n'entre pas son mot de passe que lors de l'utilisation du logiciel ?

Une connexion à une BDD ne se fait pas avec un mot de passe en clair dans un code.

Ca peut arriver dans skype par exemple.

Mais ici c'est un logiciel qui collecte en tâche de fond des infos et les envoie sur le serveur. Par exemple un antivirus qui fait son boulot et envoie des rapports d'erreur ou de scan, ou encore un jeu android sans compte & identifiants qui envoie les stats de joueurs et la géolocalisation à l'entreprise !

Comment font ses programmes ?

Oui il collecte les infos que tu lui auras donné en tant qu'utilisateur pour les envoyer au serveur.

Je ne comprend pas, pour faire cela, il n'y a pas besoin de mot de passe pour se connecter à quoi que se soit, je commence à être perdu...

Il me semble que si tu as installé ce jeu, tu as accepté les conditions au préalable permettant de récupérer tes informations pour s'en servir par la suite. Leur principe est de créer un fichier de configuration qui permettra de recevoir un code, un mot de passe crypté ou autres afin d'être reconnu par le serveur pour se connecter à la base.

Je pense que le serveur va chercher dans ce fichier de configuration le mot de passe crypté et fait son test d'acceptation à la base.

Si il les envoi sur un serveur, c'est bien sur une base de donnée non ? et donc il doit bien s'y connecter ? ...donc il doit s'identifier ?
Que n'ai-je pas compris ?

Autre exemple si je ne suis pas assez clair : un virus qui collecte des données comme par exemple des mots de passe qu'il envoie sur la base de donnée du pirate. L'exemple me semble meilleur car l'utilisateur n'a pas approuvé l’exécution de ce programme, qui doit bien se connecter à une base, mais sans divulguer les MDPs contenus dans le code source (ou pas..) car le pirate veut protéger son serveur des white hat.


Voilà en gros mon raisonnement, dsl je débute dans le remote sql et je me suis posé spontanément cette question sans avoir forcément une bonne vision du fonctionnement d'ensemble.

Non, c'est une appli côté serveur qui s'occupe de récupérer les données envoyées par le client pour faire les opérations sur la BDD.

L'utilisateur lui, ne doit jamais être en interaction directe avec la base de données.

D'accord. Donc comment l'app côté serveur s'assure que l'utilisateur est valide ?
Et donc comment masquer l'identification aux reverse enginneers ?

Il va rechercher les données sur ton disque, les comparer à sa bases de données

Quand la base va lire les données, elle va analyser ces lignes (parser) et non les exécuter, et lorsqu'on utilise ces données pour l'identification, à moins d'une faille de la base, il n'y a que très peu de chances de faire du reverse, étant donné que les méthodes d'identification ne sont là que pour identifier.

En effet là ça parait plus simple et sécurisé.
Merci !