En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...

Polémique autour de la boîte de Pandore SQL Server

Mis à jour le

Vulnérabilité pour les uns, problème incontournable pour les autres : l'absence de chiffrement pour les mots de passe d'accès à la base de données suscite la polémique.

Inscrivez-vous à la Newsletter BFM Business

Newsletter BFM Business

A voir aussi

Votre opinion

Postez un commentaire

4 opinions
  • Will le raleur
    Will le raleur     

    On nous prend vraiment pour des gogos... tous les serveurs de BD sérieux chiffrent les mots de passe (mieux, n'enregistre qu'un hash non réversible). Ces serveurs ne vous obligent pas à connecter votre serveur de base de données à un système externe d'authentification déjà utilisé pour autre chose (Active Directory), cela relève de votre STRATEGIE, pas de celle de Microsoft.

    Pour finir, les sites sérieux réinitialisent votre mot de passe avec un password temporaire valable une seule fois et pendant un laps de temps très court... les sites qui vous envoie votre mot de passe en clair sont à fuir comme la peste !

    Bref, Microsoft rime autant avec Sécurité que Cancer avec avenir !

  • bobby2
    bobby2     

    Quand on sait que Microsoft défend le prix de ses produits en disant que le TCO (total cost of ownership) est moins élevé, ils viennent de détruire d'eux même cette légende :

    "C'est pour cela, notamment, qu'il est recommandé que leurs actions soient auditées par des cabinets indépendants (notion de séparation des rôles)"

    Ca coûte combien un audit indépendant ?

    Pour mémoire, MySQL ou PostgreSQL sont gratuits, et ils ne subordonnent pas la sécurité de leur produit à l'existence d'audits indépendants dans votre boite !

  • iambradpit
    iambradpit     

    "Pour Microsoft, ce mode d'authentification est déconseillé, à utiliser uniquement lorsqu'il n'est pas possible de fonctionner en mode intégré."
    Pas si simple... s'il s'agit d'une base de données connectée à un site web, soit on est capable d'activer Kerberos (pas évident, seln le parc), soit il faut pouvoir héberger IIS et SQL Server sur la même machine... souvent on fini par utiliser des comptes de type SQL et pas Windows.

  • braibaud
    braibaud     

    Meme probleme avec les sites qui proposent de vous renvoyer votre mot de passe (perdu, oublie) par email. Pour rendre une telle fonction possible il faut stocker les mots de passe (presque) en clair quelque part... donc a priori un admin d'un tel site pourrait faire du mal lui aussi. J'ai entendu dire que 3/4 des francais utilisaient le meme mot de passe partout, je pense que le probleme se trouve plutot la.

Votre réponse
Postez un commentaire