Crypter les chaines de connexions est inutile

An article by Patrice    No Comments

En
me rendant sur la page d’accueil de la plate-forme WordPress, je suis tombé sur le
dernier post de blog de l’équipe de développement de ce logiciel. Ce post intitulé
“Secure File
Permissions Matter” indique de manière censée qu’il est toujours nécessaire de
configurer les permissions d’accès à vos fichiers afin d’éviter tout problème de sécurit”,
notamment liés à votre hébergeur.

Ce qui est plus que surprenant, c’est de voir Matt Mullenweg créateur
de WordPress et une des personnes les plus influentes
du web commencer son post par une banalité (qu’il est néanmoins toujours utile
de rappeler) pour continuer en s’improvisant expert en sécurité en affirmant que, comme
toutes les autres applications, WordPress doit stocker
les informations de connexions à la base données en clear text et qu’il est inutile
de vouloir crypter ces informations puisque les clés de cryptage seraient facilement
accessibles puisque stockés sur le système de fichiers…

Voir http://awurl.com/rROy45oeC pour
la citation exacte.

Je sais bien que WordPress est développé en PHP mais bon, ASP.net permet de crypter
des sections de configurations depuis ASP.net 2.0 c’est à dire depuis près de 5 ans,
de plus pour éviter les problèmes d’accès aux clés de cryptage, il
est possible d’utiliser DPAPI qui résous complètement ce problème potentiel.

Donc bon, peut être que crypter ses chaines de connexions n’est pas aussi inutile
que ça et qu’il est techniquement possible de le mettre en place efficacement…