Sécurité données

adelinesc2
Invité n'ayant pas de compte PHPfrance

06 nov. 2014, 11:18

Bonjour !


J'ai créé ma propre fonction d'encryptage (et de décryptage) en PHP stocké sur mon serveur pour crypter mes données avant de les insérer dans ma base.

Je trouve que c'est problématique si un jour, mon serveur vient à se faire hacker puisque le hackeur a tout en main pour décrypter les données contenues dans mes bases de données.

Y a-t-il un moyen de protéger nos propres fonctions de cryptage. Par exemple si je les stocke sur un autre serveur me permettant uniquement de retourner la réponse de cryptage/décryptage, est ce une bonne idée ?


Merci en avance pour vos réponses.

ViPHP
ViPHP | 927 Messages

06 nov. 2014, 15:20

Si le hackeur a accès à ton code, tu ne peux absolument rien faire pour qu'il ne puisse pas décrypter tes données dans tous les cas, puisqu'il lui suffira de regarder l'endroit où tu décryptes tes données pour pouvoir faire de même.

adelinesc2
Invité n'ayant pas de compte PHPfrance

07 nov. 2014, 12:14

Du coup pas de solutions pour protéger mon serveur des hackeurs ? Ou du moins protéger mes données contenues dans les bases de données .. ?

Avatar de l’utilisateur
ViPHP
xTG
ViPHP | 7330 Messages

07 nov. 2014, 12:38

Du coup pas de solutions pour protéger mon serveur des hackeurs ? Ou du moins protéger mes données contenues dans les bases de données .. ?
C'est de la protection système après (firewall, ect), pas de la protection de code.
Si ton serveur est compromis c'est à cause d'une faille système ou logicielle si ton code ne permet pas l'accès au système.

adelinesc2
Invité n'ayant pas de compte PHPfrance

07 nov. 2014, 12:54

Du coup je dois effectuer des tests de vulnérabilités sur mon serveur. Très bien. Je comprends mieux. Merci !

Par ailleurs, y a-t-il des moyens de protéger les données (au cas-où) de sorte que ce ne soit pas utilisables même si on les récupère ?

ViPHP
ViPHP | 927 Messages

07 nov. 2014, 14:06

Les techniques complexes permettant de protéger le plus possible (il n'y a pas de risque zéro) nécessitent des architectures complexes et onéreuses, à base de plusieurs serveurs pour dispatcher les données, si votre projet est professionnel je vous conseil de contacter plutôt des admins système compétents, des experts en sécurité ou des boites d'infogérances.

Je vous conseil de crypter les données sensibles que vous insérez en base de donnée (fonction crypt par exemple). Comme ça, si le hacker a simplement accès aux données de votre base, il ne pourra pas décrypter ces données. Par contre, dès qu'il a accès au code, là c'est cuit, puisqu'il peut voir comment vous cryptez / décryptez les données, et faire donc de même.

Dans tous les cas, c'est avant tout votre serveur qu'il faut sécuriser, et pour ça pas de secret : il faut passer par des professionnels.

adelinesc2
Invité n'ayant pas de compte PHPfrance

20 nov. 2014, 12:12

Merci pour vos réponses ;)