Apr
24
2010

Crypter les chaines de connexions est inutile

En
me rendant sur la page d’accueil de la plate-forme WordPress, je suis tombé sur le
dernier post de blog de l’équipe de développement de ce logiciel. Ce post intitulé
Secure File
Permissions Matter
” indique de manière censée qu’il est toujours nécessaire de
configurer les permissions d’accès à vos fichiers afin d’éviter tout problème de sécurit”,
notamment liés à votre hébergeur.

Ce qui est plus que surprenant, c’est de voir Matt Mullenweg créateur
de WordPress et une des personnes les plus influentes
du web
commencer son post par une banalité (qu’il est néanmoins toujours utile
de rappeler) pour continuer en s’improvisant expert en sécurité en affirmant que, comme
toutes les autres applications,
WordPress doit stocker
les informations de connexions à la base données en clear text et qu’il est inutile
de vouloir crypter ces informations puisque les clés de cryptage seraient facilement
accessibles puisque stockés sur le système de fichiers…

Voir http://awurl.com/rROy45oeC pour
la citation exacte.

Je sais bien que WordPress est développé en PHP mais bon, ASP.net permet de crypter
des sections de configurations depuis ASP.net 2.0 c’est à dire depuis près de 5 ans,
de plus pour éviter les problèmes d’accès aux clés de cryptage, il
est possible d’utiliser DPAPI
qui résous complètement ce problème potentiel.

Donc bon, peut être que crypter ses chaines de connexions n’est pas aussi inutile
que ça et qu’il est techniquement possible de le mettre en place efficacement…

Related Posts

About the Author: Patrice Lamarche

Leader Technique et ScrumMaster au sein de l'éditeur de logiciels Log'in Space. Je partage ici mes expériences dans le monde du développement avec les technologies Microsoft. Mon intêret et mon objectif principal est d'arriver à apporter plus de maturité à l'équipe de développement dont je fais parti, en mettant en mettant en place des process, des pratiques et outils destinés à améliorer le déroulement des projets. Microsoft MVP Application Lifecycle Management (ALM)