Manque de sécurité.

  • Bonjour.


    J'aimerais savoir l'utilité d'avoir les mots de passes en claire dans la DB ... Hier, un gars qui s'appel Alex que Sleement connait, voulait me contacter par IRC pour me dire que mon serveur ne répondait plus et comme je ne répondait pas, il est parvenu à entrer dans mon panel et ma DB pour voir ce qui clochait, par la même occasion, il ma démontré qu'il pouvait avoir ce qu'il voulait. Je lui demande explication et il ma dit '' Les mots de passe sont en claire dans la DB... c'est pas très sécuritaire tout ça '' ...


    Je parle de c'est table la :


    sql_user
    ftp_user
    mail_user


    Je ne sais pas pour vous mais, si une personne arrive à entrer via un manque de sécurité, vous devriez concevoir ça pour votre prochaine mise à jours. :) Je t'en pris Nuxwin ne minimise pas ceci car cela peut arriver à n'importe qui...

  • En effet, je m'en suis rendu compte également il y a quelques temps (mais étant le seul gestionnaire du serveur, c'est moins "gênant" et la prochaine mise à jour que je vais faire va déplacer la BDD hors réseau internet et du serveur primaire, donc uniquement accessible du serveur web, bref continuons)


    Je crois que le fait que les pass soient ici en clair est dû à l'auto-login des fonctionnalités lié (PhpMyAdmin, WebFTP et Webmail quand on y accède depuis l'espace client/utilisateur).
    En fait, il faudrait voir si c'est le cas, à utiliser directement les pass avec leur HASH (mais cela demanderais donc de "bypasser" le système de login du système cible, car c'est lui qui est censé convertir le pass en clair vers le pass stocké en BDD).


    Mais je rejoins sur le fait que niveau sécurité, il y a mieux (cela dit, avouons le, si un hacker pénètre dans la BDD, c'est qu'il a déjà un bon pied dans le serveur, donc il peut très bien changer les pass de son fait :), c'est juste le côté "vie privée" de l'utilisateur si ce dernier utilise le même mot de passe sur sa boite mail par exemple)