Titre: [MySQL] - Données, précautions MINIMALES de Base ? ? ?
Posté par: yvanoph le Lun. 16 Mars 2015 à 03:18:19
Bonjour / Bonsoir à toutes et tous ! Juste quelques informations d'importance quant à la Gestion astucieuse de vos Base de Données ?
En effet, ENCORE un automatisme que je pratique régulièrement et de fait sans même m'en rendre compte, je veux parler des Accès à nos chères DB ("Data Base" = Base de Données...) ! ! !
De façon générale et fort courante, vous allez benoitement créer votre DB chez votre hébergeur puis de suite allez compléter de ces Valeurs l'Onglet "Site=>Propriétés..." dans votre Fichier Site ouvert avec XWebDesignor ? Bien MAL vous en prend...
En effet, dès que je vois un Bouton "Envoyer" il m'est possible de récupérer l'intégralité des valeurs contenues, puis en interrogeant judicieusement quelques fichiers chez votre hébergeur de trouver toutes les clefs d'accès ? Y compris TOUS les Identifiants à vos Bases de Données ! ! !
Il est bien évident que tout curieux comprendra rapidement comment coder et donc décoder du "Base32" ou "64" etc., voire même hacher, comme couramment en "Sha1" et autres tout Code ? Donc... DONC et comme je le répète depuis la création de l'Informatique, il est IMPOSSIBLE qu'il y ait JAMAIS un jour quelque Sécurité qu'il soit avec ces Machines, aussi sophistiquées soient elles etc. ?
Alors raisonnons un peu ?
Normalement, si vous avez la possibilité de créer DB puis Tables et enfin Structure de Tables chez votre hébergeur, c'est que votre Compte d'Accès dispose des droits d'Administrateur ? Ce qui permet de pratiquement tout faire... Y compris pour un étranger comme moi de tout supprimer ? Voire même remplacer par mes propres valeurs les vôtres, histoire d'afficher ce que je veux, ce que vous finiriez par voir, mais aussi insérer quelques fonctions pour trouver va savoir quoi, ce que font les "hacker"s de façon courante ?
La première des choses donc à faire consiste à modifier le Mot de Passe fourni par votre hébergeur pour le Compte "admin" en le remplaçant par l'un qui vous soit propre !
La deuxième chose à faire est de vous créer un Compte Administrateur avec VOTRE pseudonyme et VOTRE Mot de Passe ! Puis d'en vérifier son fonctionnement après vous être déconnecté ?
Et ceci fait, de modifier les droits du Compte Administrateur pour les restreindre à modifier seulement les accès... Ainsi plus de possibilités pour celui visé en premier par les "hacker"s de pouvoir faire grand chose comme destruction de DB ou modification de Tables etc. ?
Enfin la troisième chose impérative à faire consiste à créer un Compte "Client", "Utilisateur" ou "User" ? Et celui ci ne disposera alors que des droits de Lecture, Ecriture, Consultation, Exécution de requêtes simples (Cf. première Image ci dessous !) ! ! ! Des droits restreints au minimum quoi ?
Et ce seront ces Codes d'Accès, et AUCUNS autres qu'il conviendra de placer dans le Module des Propriétés de votre Fichier Site ! En effet, ainsi un pirate ne pourra qu'aller lire voire modifier quelques valeurs, mais ne pourra JAMAIS supprimer valeurs, Tables ou même DB ni s'accaparer quoi que ce soit ?
Bref, voilà bien un MINIMUM de sécurité à apporter simplement, que ce soit pour vous même sinon à vos Visiteurs, et voire même Clients ? Et ne SURTOUT PAS se fier benoitement aux explications plus que succinctes sinon erronées mentionnées dans l' "Aide" d'XWebDesignor...
En ce qui me concerne, je me verrais mal refaire certaines Tables, contenant parfois plus de deux cents Colonnes (Cf. deuxième Image ci dessous), même si je sais générer ce genre de Tables en pas deux heures ? Il y a bien évidemment des astuces de constructions pour générer à la pelle ce type de Table, ici pour des sondages, en partant de rien en quelques minutes seulement, via un Editeur correct comme NotePad++...
Voilà donc une Astuce à exploiter sans vergogne ? Cordialement, Yvanoph---
|