Accès BDD et cryptage de variables de session

Le
TheHach
Bonjour.

Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?

Merci de votre aide.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Paul Bacelar
Le #12284381
"TheHach" news:
Bonjour.

Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?

Merci de votre aide.



ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.

--
Paul Bacelar
MVP VC++
TheHach
Le #12284341
"Paul Bacelar" news:e#:

ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.




Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais
Linux.
Et cette application doit être utilisable par d'autres sociétés du groupe
qui se trouvent un peu partout dans le monde, et où chacun a une config
différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est
l'utilisateur Oracle.

Comment faire alors ?
Patrice
Le #12284331
Les variables de session sont sur le serveur donc relativement solide en
théorie.

Après c'est toujours le même problème. La sécurité consiste à accumuler une
série d'obstacles. Par exemple, il serait possible de "publier" cette chaîne
par inadvertance dans un message d'erreur. La variable sera alors bien sûr
visible en clair si elle n'est pas cryptée.

Donc je pense qu'il serait tout de même préférable de crypter ces infos (en
isolant bien cette partie, il sera possible d'activer ou désactiver ce
cryptage).

Comme on utilise des connexions spécifiques à chaque utilisateur, la montée
en charge sera à priori limitée (le poooling des connexions sera
inefficace).

--
Patrice

"TheHach" news:
Bonjour.

Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?

Merci de votre aide.


Paul Bacelar
Le #12284311
En exemple d'utilisation de source externes pour l'authentification :
http://msdn.microsoft.com/msdnmag/issues/05/04/Security/
--
Paul Bacelar
MVP VC++

"TheHach" news:
"Paul Bacelar" news:e#:

ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.




Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais
Linux.
Et cette application doit être utilisable par d'autres sociétés du groupe
qui se trouvent un peu partout dans le monde, et où chacun a une config
différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est
l'utilisateur Oracle.

Comment faire alors ?


Publicité
Poster une réponse
Anonyme