• [^] # Re: Quelques remarques

    Posté par (site web personnel) . En réponse à la dépêche Apache/PHP et IIS/ASP : pas si bons ?. Évalué à 7.

    Je ne suis pas d'accord sur le 1.

    Le probleme des mots de passe de base de donnée n'est pas le fait que l'admin ai acces à la BDD. Comme tu le dis dans 95% des cas il est normal que la personne capable de rajouter/modifier les scripts ou cgi soit capable de toucher au contenu de la bdd avec les meme droits que les scripts en question.

    Par contre avoir des mots de passe en clair pose un autre probleme : celui d'une faille dans ton appli ou sur le serveur. Si quelqu'un arrive d'une maniere détournée à lire un de tes scripts (via une entrée mal protégée, via un faille d'un logiciel sur le serveur, via ..) il obtiendra le mot de passe pour acceder à la bdd, et ca c'est plus génant.
    Déjà parce que nombreux sont ceux pour qui l'accès aux données est beaucoup plus grave que l'acces en lecture aux cgi et parce que si tu met à jour le programme en faute deux jours apres le méchant lui aura toujours accès à la base via le mot de passe (et au FTP/SSH chez les mauvais hébergeurs qui mettent un pass identique)

    Dire que celui qui a accès aux scripts devrait avoir acces à la BDD donc que mettre un mot de passe n'est pas génant revient à dire
    - les mots de passe systeme peuvent etre mis tous en clair dans un fichier controlé par root car de toute facon pour le lire il faut etre root
    - les mots de passe en bdd peuvent tous etre mis en clair dans la bdd vu que l'acces est controllé par le sgbd.

    C'est AMHA nier lla possibilité d'avoir des failles non encore connues dans son systeme et prendre des risques inutiles.

    Bon, apres il faut faire la part des choses et les scripts apportent beaucoup de contreparties (il ne me viendrait pas à l'esprit de faire du C pour le web si je n'ai pas besoin d'un CGI qui fait des gos calculs) mais il ne faut pas dire que le probleme est un faux probleme.