Connection ADO sécurisée

Signaler
Messages postés
52
Date d'inscription
mardi 4 novembre 2003
Statut
Membre
Dernière intervention
28 janvier 2010
-
Messages postés
52
Date d'inscription
mardi 4 novembre 2003
Statut
Membre
Dernière intervention
28 janvier 2010
-
Messieurs dames, bien le bonjour.

Je suis en train de développer une appli sous C#, avec une BDD SQL Server.
Ma base se trouve chez mon hébergeur de mail.
Je ne voudrais pas que les UserID et Password circulent en clair sur les réseaux lors des ouvertures de connection ADO.
Est-ce que le SSPI suffit, ou faut-il pousser le bouchon un peu plus loin ?

Fab

4 réponses

Messages postés
66
Date d'inscription
lundi 27 juin 2005
Statut
Membre
Dernière intervention
2 juin 2006
1
Je ne connais pas les limitations de SSPI mais il y a toujours moyen de faire plus sécurisé. Cependant il faut que tu puisse envoyer de facon crypté ainsi que RECEVOIR de l'autre coté de facon cryptée et donc il faut d'abord penser à pouvoir agir des 2cotés. Sinon, pour tes UserID et Password, il est parfois interessant de crypter par exemple par MD5.

Je te donne une piste si tu choisis de rajouter cette sécurisation. Crée 2textbox sur une appli c# toute simple(testé sous vs2005). Elles prendront le nom TextBox1 et TextBox2.

Ensuite 1bouton derrière lequel tu colle ce code.
MD5 md5 = new MD5CryptoServiceProvider();
textBox2.Text = BitConverter.ToString(MD5.Create().ComputeHash(Encoding.ASCII.GetBytes(textBox1.Text))).ToUpper().Replace("-", String.Empty);

Tu n'oublis pas de rajouter un using:
using System.Security.Cryptography;

Et tu as donc une application qui te traduira ton UserID et Password avec Cryptage MD5 en entrant un mot dans la TextBox1 il sera crypé dans la TextBox2. Bon amusement.
UserID devient : 57C7869106FD3BE06D0E273A1FD8BBD3
Password devient : DC647EB65E6711E155375218212B3964

Aucun password ou user id en clair...
Messages postés
52
Date d'inscription
mardi 4 novembre 2003
Statut
Membre
Dernière intervention
28 janvier 2010

Merci pour la réponse.
Je ne connais pas grand chose en crypto, donc la question qui suis est peut-être inutile.
Les string générée par MD5 sont-elles récupérables sur un réseau, et décodable par un processus inverse ?

Fab
Messages postés
66
Date d'inscription
lundi 27 juin 2005
Statut
Membre
Dernière intervention
2 juin 2006
1
Il est possible d'écouter des transferts MD5 mais pas décodable sans méthode brute selon moi, d'ou son interêt. Je ne peux pas t'en dire beaucoup plus sur ces sujets, je l'ai juste utilisé dans une page asp.net sous cette forme dans le web.config :

<forms>
<credentials passwordFormat="MD5">


</credentials>
</forms>
Messages postés
52
Date d'inscription
mardi 4 novembre 2003
Statut
Membre
Dernière intervention
28 janvier 2010

OK. Merci pour tes indics en tout cas.
Fab