|
Titre: [C] Sécuriser une application compilé Posté par: assuke le 05 Janvier 2010 à 11:41:21 salut tout le monde :)
il y a quelques temps j'ai commencé à apprendre à utiliser la l'api Mysql pour intégrer à une application sauf que après avoir compilé mon projet avec VS j'ai passé l'application sous un éditeur hexadécimal et voila le résultat : (http://i13.servimg.com/u/f13/11/03/48/59/secumy10.jpg) vous voyez donc que si je distribue mon application, n'importe qui peut connaitre mes identifiants :( alors est ce qu'il y a une solution pour obtenir plus de sécurité ? merci d'avance Titre: Re : Sécuriser une application compilé en C Posté par: _o_ le 05 Janvier 2010 à 15:28:42 Il n'y a pas de solution miracle.
Une solution couramment accepté est que le mot de passe doit être chiffré là où il est stocké (mais bien évidemment, ça signifie que le binaire va contenir une librairie de déchiffrement ainsi que la clef en clair). L'idée étant de retarder le pirate (qui, s'il le veut, trouvera de toute façon le moyen d'accéder à la base de données). Il y a d'autres blocages possibles. Par exemple, restreindre les adresses IP qui auront le droit de se connecter à la BDD sous ce compte. Mais ce n'est pas non plus la panacée. Par contre, il est très moyen d'avoir le login et le mot de passe en dur dans un binaire. Que se passe-t-il si tu changes l'un ou l'autre ? Tu recompiles ? Et si tu as plusieurs clients qui ont chacun une base de données, tout le monde doit avoir le même mot de passe ? Non, c'est pour cela qu'il vaut mieux utiliser un fichier de conf. Titre: Re : Sécuriser une application compilé en C Posté par: the lsd le 05 Janvier 2010 à 15:46:12 Cela dépend également de ce que tu veux pondre. Si tu veux faire un Web Service par exemple, tu peux mettre le login/pass sur le serveur plutôt que sur le client. Ton client n'aurait qu'a envoyer une requête vers le serveur, qui lui aurait les identifiants et pourrait se connecter à la BDD :
Client ---> Requête serveur ---> Programme/Script sur le serveur ---> Connexion BDD ---> Récupération des infos sur le Programme/Script ---> Envoi de la réponse vers le client. Il faut évidemment que tu es la main sur le serveur, autrement qu'avec un service SQL (php/asp/cgi au autre, faut voir comment tu peux interagir) Tu peux aussi faire du RPC-XML Enjoy The lsd Titre: Re : Sécuriser une application compilé en C Posté par: assuke le 11 Janvier 2010 à 21:38:10 bonsoir, je m'excuse du retard et je vous remercie pour votre réponse, je trouve l'idée de chiffrer le mot de passe est la seule solution qui est à porté de main, car je n'ai pas assez de connaissance pour pouvoir manipuler directement sur le serveur et faire des script c'est pour ça que j'ai trouvé la solution de _o_ plus intéressante. merci encore à vous :) bonne soirée
|