Mon but est de protéger un mot de passe, pas de cracker un code, mais je
me suis toujours posé cette question.
Imaginons : je veux coder un mot de passe. Etant relativement ignare de
toutes les siouxeries existantes, j'ai à ma disposition tout un arsenal
d'opérations telles que ajout, soustraction, décalage, rotation,
découpage ... qui sont toutes bijectives. Ma seule limitation dans
l'emploi de ces méthodes étant le temps que je veux bien y consacrer, le
nombre de couches d'opérations que je mets en place et la durée que
prendra ces transformations.
Le nombre de combinaisons que cela représente doit être gigantesque. De
plus, à chaque essai, un test doit être fait pour voir si le résultat
est correct.
Du haut de mon ignorance, j'ai du mal à imaginer qu'on puisse aisément
cracquer un tel cryptage s'il est peu répandu.
qui se connecte sur localhost (par défaut) sous le compte anonyme.
Voici ce que m'a proposé Sylvain suite à un post où je voulais avoir des
renseignements sur la manière de protéger un mot de passe.
Cette méthode n'utilise pas de mot de passe : c'est parfait.
Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour pouvoir créer un nouvel utilisateur, il fallait être :
- sur la machine même où se trouve la base de données, - être un super utilisateur ("host").
Je ne répond à aucun de ces deux critères étant donné que je ne suis qu'un abonné chez un FAI (Free en l'occurrence).
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez mon FAI, cette option n'existe pas.
Vous confirmez ?
Merci de vos informations.
Pierre
...
$link = mysql_connect();
qui se connecte sur localhost (par défaut) sous le compte anonyme.
Voici ce que m'a proposé Sylvain suite à un post où je voulais avoir des
renseignements sur la manière de protéger un mot de passe.
Cette méthode n'utilise pas de mot de passe : c'est parfait.
Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur
avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour
pouvoir créer un nouvel utilisateur, il fallait être :
- sur la machine même où se trouve la base de données,
- être un super utilisateur ("host").
Je ne répond à aucun de ces deux critères étant donné que je ne suis
qu'un abonné chez un FAI (Free en l'occurrence).
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un
nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez
mon FAI, cette option n'existe pas.
qui se connecte sur localhost (par défaut) sous le compte anonyme.
Voici ce que m'a proposé Sylvain suite à un post où je voulais avoir des
renseignements sur la manière de protéger un mot de passe.
Cette méthode n'utilise pas de mot de passe : c'est parfait.
Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour pouvoir créer un nouvel utilisateur, il fallait être :
- sur la machine même où se trouve la base de données, - être un super utilisateur ("host").
Je ne répond à aucun de ces deux critères étant donné que je ne suis qu'un abonné chez un FAI (Free en l'occurrence).
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez mon FAI, cette option n'existe pas.
Vous confirmez ?
Merci de vos informations.
Pierre
Sylvain
ChP wrote on 27/03/2008 20:57:
...
$link = mysql_connect();
Cette méthode n'utilise pas de mot de passe : c'est parfait. Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour pouvoir créer un nouvel utilisateur, il fallait être : - sur la machine même où se trouve la base de données, - être un super utilisateur ("host").
cela présupposait en effet de pouvoir créer un compte anonyme, je ne l'avais pas exclu, vos indications ne l'interdisant pas.
cette creéation peux être faite en local comme à distance si l'on a le compte "root" de mysql (ce "root" mysql est un utilisateur privilégié pour la base concerné, il n'a rien à voir avec le compte unix éponyme).
si votre FAI vous a donné uniquement un compte utilisateur (qui aura nécessairement tous les droits sur votre base (schéma)) ma proposition est inapplicable.
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez mon FAI, cette option n'existe pas.
ça confirme le point, lister les utilisateurs (avant de pouvoir en ajouter) impose des droits sur les tables 'user' et 'user_info' du schéma 'mysql'; votre FAI créé très certainement un schéma avec un seul utilisateur pour chaque abonné.
selon ce mode vous ne pouvez pas même changer votre mot de passe via des requetes SQL, vou sle pouvez peut être via un script (une page) du FAI qui se loge en 'root' sur la base.
si vous avez cette option (de changement) et que votre mot de passe vous parait faible, optez pour un remplacement avec une chaine plus longue (certains prestataires limitent trop cette longueur) mais vous ne pourrez rien faire par vous même qui protège vos tables contre les attaques exhaustives, vous ne pouvez qu'espérer que le FAI a deployé des outils contrant de telles attaques.
Sylvain.
ChP wrote on 27/03/2008 20:57:
...
$link = mysql_connect();
Cette méthode n'utilise pas de mot de passe : c'est parfait.
Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur
avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour
pouvoir créer un nouvel utilisateur, il fallait être :
- sur la machine même où se trouve la base de données,
- être un super utilisateur ("host").
cela présupposait en effet de pouvoir créer un compte anonyme, je
ne l'avais pas exclu, vos indications ne l'interdisant pas.
cette creéation peux être faite en local comme à distance si l'on
a le compte "root" de mysql (ce "root" mysql est un utilisateur
privilégié pour la base concerné, il n'a rien à voir avec le compte
unix éponyme).
si votre FAI vous a donné uniquement un compte utilisateur (qui
aura nécessairement tous les droits sur votre base (schéma)) ma
proposition est inapplicable.
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un
nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez
mon FAI, cette option n'existe pas.
ça confirme le point, lister les utilisateurs (avant de pouvoir en
ajouter) impose des droits sur les tables 'user' et 'user_info' du
schéma 'mysql'; votre FAI créé très certainement un schéma avec un
seul utilisateur pour chaque abonné.
selon ce mode vous ne pouvez pas même changer votre mot de passe
via des requetes SQL, vou sle pouvez peut être via un script (une
page) du FAI qui se loge en 'root' sur la base.
si vous avez cette option (de changement) et que votre mot de passe
vous parait faible, optez pour un remplacement avec une chaine plus
longue (certains prestataires limitent trop cette longueur) mais
vous ne pourrez rien faire par vous même qui protège vos tables
contre les attaques exhaustives, vous ne pouvez qu'espérer que le
FAI a deployé des outils contrant de telles attaques.
Cette méthode n'utilise pas de mot de passe : c'est parfait. Ce qui l'est moins, c'est qu'il faut que je crée un nouvel utilisateur avec des droits "spécifiques".
Or, à la lecture de différents articles, j'ai cru comprendre que pour pouvoir créer un nouvel utilisateur, il fallait être : - sur la machine même où se trouve la base de données, - être un super utilisateur ("host").
cela présupposait en effet de pouvoir créer un compte anonyme, je ne l'avais pas exclu, vos indications ne l'interdisant pas.
cette creéation peux être faite en local comme à distance si l'on a le compte "root" de mysql (ce "root" mysql est un utilisateur privilégié pour la base concerné, il n'a rien à voir avec le compte unix éponyme).
si votre FAI vous a donné uniquement un compte utilisateur (qui aura nécessairement tous les droits sur votre base (schéma)) ma proposition est inapplicable.
Dailleurs, en local, sur mon PC, avec "PhPMyAdmin", l'option de créer un nouvel utilisateur existe alors qu'avec le même outil, sur mon site chez mon FAI, cette option n'existe pas.
ça confirme le point, lister les utilisateurs (avant de pouvoir en ajouter) impose des droits sur les tables 'user' et 'user_info' du schéma 'mysql'; votre FAI créé très certainement un schéma avec un seul utilisateur pour chaque abonné.
selon ce mode vous ne pouvez pas même changer votre mot de passe via des requetes SQL, vou sle pouvez peut être via un script (une page) du FAI qui se loge en 'root' sur la base.
si vous avez cette option (de changement) et que votre mot de passe vous parait faible, optez pour un remplacement avec une chaine plus longue (certains prestataires limitent trop cette longueur) mais vous ne pourrez rien faire par vous même qui protège vos tables contre les attaques exhaustives, vous ne pouvez qu'espérer que le FAI a deployé des outils contrant de telles attaques.
Sylvain.
ChP
...
si votre FAI vous a donné uniquement un compte utilisateur (qui aura nécessairement tous les droits sur votre base (schéma)) ma proposition est inapplicable. ... Sylvain.
Je me trouve effectivement dans cette situation où je ne peux pas créer un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de données pour donner des liens d'images (par exemple) à un internaute qui lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont donc ces méthodes qu'il faut que j'approfondisse ?
Cordialement.
Pierre
...
si votre FAI vous a donné uniquement un compte utilisateur (qui
aura nécessairement tous les droits sur votre base (schéma)) ma
proposition est inapplicable.
...
Sylvain.
Je me trouve effectivement dans cette situation où je ne peux pas créer
un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de
données pour donner des liens d'images (par exemple) à un internaute qui
lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part
sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont
donc ces méthodes qu'il faut que j'approfondisse ?
si votre FAI vous a donné uniquement un compte utilisateur (qui aura nécessairement tous les droits sur votre base (schéma)) ma proposition est inapplicable. ... Sylvain.
Je me trouve effectivement dans cette situation où je ne peux pas créer un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de données pour donner des liens d'images (par exemple) à un internaute qui lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont donc ces méthodes qu'il faut que j'approfondisse ?
Cordialement.
Pierre
Sylvain
ChP wrote on 28/03/2008 12:53:
Je me trouve effectivement dans cette situation où je ne peux pas créer un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de données pour donner des liens d'images (par exemple) à un internaute qui lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont donc ces méthodes qu'il faut que j'approfondisse ?
on est d'accord sur ce qui est possible (plutôt impossible en fait). je ne suis pas sur que l'on conceptualise à l'identique le reste.
explication: ma compréhension est que vous ne donnez jamais à un internaute un mot de passe pour accéder à la base (ce que vous avez indiqué) mais uniquement à php - utilisé pour construire les pages - enfin qu'il se connecte à la base pour y lire des URLs.
donc, en effet, sur une ou plusieurs pages php, vous avez codé le mot de passe de connexion à la base dans un bout de script php qui justement se connecte à cette base.
dès lors ce mot de passe là - qui figure en clair dans la page - n'a *nul* besoin d'être protégé si le code soure php n'est visible que de vous; comme indiqué ni apache, ni php (comme défaillance sévère mais jamais vue) se mettait à envoyer au client le code source php.
concrêtement cela signifie que le mot de passe à protéger est votre login à votre espace privé sur le serveur du FAI; cet accès sûrement en FTP vous permet de charger vos pages (contenant le mot de passe mysql) et évidemment également de lire ces pages.
si ce mot de passe FTP est béton, le mot de passe mysql est de fait bien protégé; si cet accès FTP utilise un mot de passe très simple (6 - 8 caractères) c'est lui qu'il faut durcir avec une chaine de 10, 12 ou plus caractères; la limitation en longueur peut venir d'une contrainte mise en place par le FAI (via la formulaire fourni).
s'il vous le pouvez également, transferez vos pages en mode FTPS plutôt qu'en FTP.
Sylvain.
ChP wrote on 28/03/2008 12:53:
Je me trouve effectivement dans cette situation où je ne peux pas créer
un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de
données pour donner des liens d'images (par exemple) à un internaute qui
lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part
sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont
donc ces méthodes qu'il faut que j'approfondisse ?
on est d'accord sur ce qui est possible (plutôt impossible en fait).
je ne suis pas sur que l'on conceptualise à l'identique le reste.
explication: ma compréhension est que vous ne donnez jamais à un
internaute un mot de passe pour accéder à la base (ce que vous
avez indiqué) mais uniquement à php - utilisé pour construire les
pages - enfin qu'il se connecte à la base pour y lire des URLs.
donc, en effet, sur une ou plusieurs pages php, vous avez codé
le mot de passe de connexion à la base dans un bout de script
php qui justement se connecte à cette base.
dès lors ce mot de passe là - qui figure en clair dans la page - n'a
*nul* besoin d'être protégé si le code soure php n'est visible que de
vous; comme indiqué ni apache, ni php (comme défaillance sévère mais
jamais vue) se mettait à envoyer au client le code source php.
concrêtement cela signifie que le mot de passe à protéger est votre
login à votre espace privé sur le serveur du FAI; cet accès sûrement
en FTP vous permet de charger vos pages (contenant le mot de passe
mysql) et évidemment également de lire ces pages.
si ce mot de passe FTP est béton, le mot de passe mysql est de fait
bien protégé; si cet accès FTP utilise un mot de passe très simple
(6 - 8 caractères) c'est lui qu'il faut durcir avec une chaine de
10, 12 ou plus caractères; la limitation en longueur peut venir
d'une contrainte mise en place par le FAI (via la formulaire fourni).
s'il vous le pouvez également, transferez vos pages en mode FTPS
plutôt qu'en FTP.
Je me trouve effectivement dans cette situation où je ne peux pas créer un nouvel utilisateur. Donc, si je veux pouvoir accéder à ma base de données pour donner des liens d'images (par exemple) à un internaute qui lui, n'aura pas à donner de mot de passe, implique que j'ai quelque part sur mon site, crypté ou non, le mot de passe d'accès à la base de données.
Mon problème revient donc à la protection de ce mot de passe. Ce sont donc ces méthodes qu'il faut que j'approfondisse ?
on est d'accord sur ce qui est possible (plutôt impossible en fait). je ne suis pas sur que l'on conceptualise à l'identique le reste.
explication: ma compréhension est que vous ne donnez jamais à un internaute un mot de passe pour accéder à la base (ce que vous avez indiqué) mais uniquement à php - utilisé pour construire les pages - enfin qu'il se connecte à la base pour y lire des URLs.
donc, en effet, sur une ou plusieurs pages php, vous avez codé le mot de passe de connexion à la base dans un bout de script php qui justement se connecte à cette base.
dès lors ce mot de passe là - qui figure en clair dans la page - n'a *nul* besoin d'être protégé si le code soure php n'est visible que de vous; comme indiqué ni apache, ni php (comme défaillance sévère mais jamais vue) se mettait à envoyer au client le code source php.
concrêtement cela signifie que le mot de passe à protéger est votre login à votre espace privé sur le serveur du FAI; cet accès sûrement en FTP vous permet de charger vos pages (contenant le mot de passe mysql) et évidemment également de lire ces pages.
si ce mot de passe FTP est béton, le mot de passe mysql est de fait bien protégé; si cet accès FTP utilise un mot de passe très simple (6 - 8 caractères) c'est lui qu'il faut durcir avec une chaine de 10, 12 ou plus caractères; la limitation en longueur peut venir d'une contrainte mise en place par le FAI (via la formulaire fourni).
s'il vous le pouvez également, transferez vos pages en mode FTPS plutôt qu'en FTP.
