Infos stocké base de données
Bonjour,
Je suis en train de créer un site web et je me demande quelles sont les infos que l'on a le droit de stocker et quelles sont celles qu'il faut crypter ?
Je sais qu'il faut crypter le mot de passe, mais qu'en est-il du reste ? Mail, pays, ville, nom, prénom, date de naissance ? Sachant que seuls le mail et la date de naissance seront obligatoires.
Il n'y a rien de clairement dis à propos de ça, tu peux trouvez des conseille sur le site de la CNIL www.cnil.fr et celui de l'ANSII http://www.ssi.gouv.fr/
Faut aussi voir ce que tu veux faire de ces données, si par exemple tu hash les adresses mail tu n'aura pas exemple plus moyen de les utiliser pour une newsletter par exemple
@Hydrofyse: Sache que ce que tu crypte, tu ne pourras pas l'exploiter. Donc si tu as besoin d'afficher à l'utilisateur son nom, son mail, sa ville, etc .. tu ne pourras si tu les cryptes. Partant du constat que ta base de donnée est sensé être bien protégé, tu n'as pas besoin de crypter ces données en BDD
@critikal: T'es en train de lui expliqué un truc qu'il a expliqué plus haut "si par exemple tu hash les adresses mail tu n'aura pas exemple plus moyen de les utiliser pour une newsletter par exemple "
@Hydrofyse: Merci pour le lien.
Le mail sera pas affiché mais utilisé pour notification par mail. Le date de naissance sera utilisé pour contrôler l'âge (même si les gens peuvent mytho) sinon nom/prénom/pays/ville ne seront affichés que si ils sont saisis vu qu'ils ne sont pas obligatoires.
@critikal: donc si on suit ta logique, on peut enregistrer un mot de passe en clair ?
T'es l'admin sys de Yahoo toi non ?
@Miroir: Je parle bien sûr de la pratique là. Certes ta base de données peut avoir un mot de passe, une connexion sécurisée par IP, blablabla. Au final c'est sur ton site qu'on fait des injections, pas la base de données.
@Divi: Si on fait des injections sur ta BDD via ton site, t'es vraiment pas doué pour sécuriser ... Sinon pour tes attaques gratuites, non on ne peut pas stocker en clair un mdp malgré que des sites le fassent encore, car personne ne doit connaitre ton mot de passe, ni y avoir accès, que tu sois hacker, administrateur, développeur etc..
@Rousseau: Je ne répondais pas à Hydrofyse, j'ai fail en commentant son commentaire au lieu du post
@critikal: Faut pas croire que les injections c'est juste pour les "pas doués" et qu'il n'existe que cette méthode pour arriver à récupérer des données en DB. Autrement on ne parlerai pas de WordPress, Yahoo, Dailymotion, Linkedin, Ashley Madison, Sony etc. qui, je suis sûr, ont une très bonne sécurité d'accès de leur base de données.
@critikal: "Faut pas croire [...] qu'il n'existe que cette méthode pour arriver à récupérer des données en DB"
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.