Page 3 of 4

Re: NotifAtys

Posted: Thu Jul 30, 2009 8:48 am
by selyana
Chacun est libre,

et je jetterai pas la pierre à Holkan de jouer avec l'API Ryzom, vu que je le fais aussi ... mais je vais faire ma parano de base :

pas envie de laisser trainer mon API Key complète *en clair* je ne sais où, surtout si c'est juste pour afficher un message de statut ... qu'on pourrait aussi bien entrer directement sur le site web (ok faut faire un alt+tab lancer un navigateur et aller sur une page web à chaque fois ... dur :p )

autant que possible il est préférable d'utiliser des clés chiffrées, et si possible ne pas les stocker (pas en clair, et si elle est stockée chiffrée, il ne faut pas que le mot de passe ou la clé de déchiffrement soit stockée avec)

sur mes bricolages actuels je stocke en chiffré ... certes à un moment la clé est en clair (déchiffrée avec le mot de passe utilisateur) et si j'étais une raclure je pourrais la stocker en clair ... mais c'est un peu plus sécurisant néanmoins je trouve : si je me fais pirater mon site, le "voleur" n'a au mieux qu'une base chiffrée (le stockage de la clé, même chiffrée, est optionnel)

maintenant vous faites ce que vous voulez :)

(je fais pas ça pour le plaisir de démonter le boulot d'Holkan ... et si je me fais flame pour cette critique ... tant pis)

Re: NotifAtys

Posted: Thu Jul 30, 2009 8:56 am
by holkan
Tu peux aussi acheter un bunker et vivre dedans jusqu'a la fin de tes jours :D

Il faut savoir relativiser :
- C'est la clé d'un personnage virtuel dans un jeu, si on te la vole tu ne vas pas t'autodétruire je te le promet
- En cas de vol, cette clé peut être regenerée depuis ton profil
- Cette clé ne donne accès qu'a des informations en lecture seule.

Je veux bien sortir le bazooka pour tuer une mouche mais bon cette clé n'est pas non plus un numéro de carte bleue :p
Donc je suis d'accord pour sécuriser les clés pour le confort du joueur, mais après faut pas non plus exagérer.

Re: NotifAtys

Posted: Thu Jul 30, 2009 8:56 am
by ulukyn
Non, la critique est justifiée. La plupart des sites ne stockent pas en clair les mots de passe.

D'un autre coté, il est toujours possible de régénérer sa clef. Donc, pas besoin de partir dans de lourd systèmes de sécurisation, mais un simple cryptage par mot de passe pourrait être utile :)

Re: NotifAtys

Posted: Thu Jul 30, 2009 8:58 am
by holkan
ulukyn wrote:mais un simple cryptage par mot de passe pourrait être utile :)

Voila, j'estime que c'est parfaitement adapté pour ce genre d'information qui n'a pas un niveau de criticité dementiel.

Re: NotifAtys

Posted: Thu Jul 30, 2009 9:19 am
by selyana
Just do it :)

entre angélisme et parano il faut effectivement relativiser : à combien estimes-tu la criticité de tes horaires de connexion par exemple ? IG ? IRL ?

pas démentielle, mais pas nulle

Re: NotifAtys

Posted: Thu Jul 30, 2009 9:52 am
by holkan
Bref, vos clés sont désormais chiffrées dans la base :)
Et non elles ne l'étaient pas avant :o

Re: NotifAtys

Posted: Thu Jul 30, 2009 4:49 pm
by fafa91
holkan wrote: Et non elles ne l'étaient pas avant :o
c'est scandaleux !!!
je te fais un procès !!!

PS: edite ton premier post pour préciser que la clef est cryptée dans ta BD
holkan wrote: Important : cette application nécessite la clé complète pour fonctionner. Celle-ci est cryptée et sauvegardée dans une base de données.
Toutefois vous pouvez la supprimer de le base quand bon vous semble.

Re: NotifAtys

Posted: Thu Jul 30, 2009 7:31 pm
by fafa91
Tiens une autre idée serait d'avoir un champ dans ta BD pour la date à laquelle le statut est entré par l'utilisateur puis modifier cette date a chaque changement de statut. Afficher cette date dans l'appli, cela donne la date a laquelle le user a réellement mis à jour son statut.
Pour l'instant je vois que la date pour moi est "30 juillet 09 11:44:31", je sais pas d'où elle sors cette date, j'étais au boulot... :D

Re: NotifAtys

Posted: Thu Jul 30, 2009 9:51 pm
by kirlack
fafa91 wrote:c'est scandaleux !!!
je te fais un procès !!!
Ce qui est scandaleux est que l'on utilise le terme "cryté" ! Non mais ho ! Chiffré bon sang, chiffré !

*/me hides*