En me rendant sur la page d’accueil de la plate-forme Wordpress, je suis tombé sur le dernier post de blog de l’équipe de développement de ce logiciel. Ce post intitulé “Secure File Permissions Matter” indique de manière censée qu’il est toujours nécessaire de configurer les permissions d’accès à vos fichiers afin d’éviter tout problème de sécurit”, notamment liés à votre hébergeur.
Ce qui est plus que surprenant, c’est de voir Matt Mullenweg créateur de Wordpress et une des personnes les plus influentes du web commencer son post par une banalité (qu’il est néanmoins toujours utile de rappeler) pour continuer en s’improvisant expert en sécurité en affirmant que, comme toutes les autres applications, Wordpress doit stocker les informations de connexions à la base données en clear text et qu’il est inutile de vouloir crypter ces informations puisque les clés de cryptage seraient facilement accessibles puisque stockés sur le système de fichiers…
Voir http://awurl.com/rROy45oeC pour la citation exacte.
Je sais bien que Wordpress est développé en PHP mais bon, ASP.net permet de crypter des sections de configurations depuis ASP.net 2.0 c’est à dire depuis près de 5 ans, de plus pour éviter les problèmes d’accès aux clés de cryptage, il est possible d’utiliser DPAPI qui résous complètement ce problème potentiel.
Donc bon, peut être que crypter ses chaines de connexions n’est pas aussi inutile que ça et qu’il est techniquement possible de le mettre en place efficacement…