comment sécuriser ma connexion à My SQL Workbench et comment rédiger organiser mon programme avec l'info de connexion CLAIREMENT (exemples)? Etc.

Danièle7 · 16 Septembre 2022

Bonjour. Et merci de votre attention (surtout, bien sûr, à ceux qui sont des as qu'on apprécie particulièrement d'être là et de nous aider...)
Perso, j'ai bien trouver des grandes lignes qui disent qu'il faut crypter... qu'il faudrait SSL (apparemment cher pour l'avoir), Wordpress..., des qui disent qu'il faut hacher, d'autres à dire que ça ne sert à rien... Qu'il faut ôter les utilisateurs et privilèges (c'est où sur Workbench? C'est tout en anglais et pas si clair... et quand déjà en retard dans sa formation suite à une cyberattaque à log et qu'on a refusé de vous aider à sécuriser et qu'on vous avait dit de ne mettre aucune sécurité que ça ne risquait rien...)
Enfin, bon...
Et compartimenter: encore possible une fois déjà tout installé ou il faut re réinitialiser usine le Mac book M1 et le compartimenter et APRES coller selon...?
Mais là, mon urgence absolue, comment je peux modifier le programme et ne pas mettre en clair mon identifiant et mot de passe pour l'accès à la base de données, dans Eclipse tout en pouvant effectuer mes tests, etc.?
Comment on fait ça? J'ai lu un truc parlant de dbConnect mais sans trop de détail, un autre parlant de la classe Préférences... Un disant de mettre le fichier concerné à lire hors programme. A me demander (et comment) faire carrément réclamer qu'il demande à l'utilisateur de lui taper le mot de passe, plutôt... et ne pas le mettre dans le programme du tout... et la base de données qui sait ou non si.
Et comment vraiment sécuriser?
Et pourquoi Eclipse n'est pas proposé dans Apple Store?

Je débute... J'aimerais sincèrement qu'on m'explique et m'apprenne un peu... Car, j'apprends mais trop lentement/l'urgence, et comme la personne qui me suit m'a dit de m'être en clair dans le programme et sur gitHub un mot de passe très très simple de seulement 3-4 caractères et laisser root... et que, même si surprise, à me dire qu'il savait ce qu'il faisait... Ça, avant mon hécatombe d'emm...

Merci à ceux qui voudront bien m'aider un peu...

bompi · 17 Septembre 2022

Bonjour,

là je n’ai pas beaucoup de temps mais je dois pouvoir déjà dire que :

Eclipse est un projet indépendant et s’ils veulent être dans le magasin d’application d’Apple, c’est à eux de faire les démarches et pas l’inverse ; ils ne le feront probablement jamais parce que ça ne présente aucun intérêt, sinon une perte de temps et d’énergie ; quand on veut utiliser Eclipse, on le télécharge et on l’installe (c’est facile et tout développeur le fera assez aisément) ;
la personne qui te suit est sans doute compétente mais pas en sécurité ;
le problème des mots de passe pour accéder aux bases de données est dur à régler (ou alors quelqu’un a trouvé une super méthode et dans ce cas on va la trouver…)

Il faudrait que tu exposes simplement et posément ce que tu fais et le contexte : ça doit tourner sur UN serveur, ou sur plusieurs serveurs, ça utilise des conteneurs ou pas, c’est un service Web ou un site Web etc. Il est difficile de bien s’orienter quand on ne connaît pas le projet.

Par ailleurs : SSL ne coûte rien et tu peux créer un certificat personnel pour rien non plus. Ce qui coûte est de le faire authentifier par un tiers (Thawte, Verisign (toutes deux chez Symantec) mais il y en d’autres). Pour le développement, l'authentification par un tiers n’est généralement pas faite (pas gênant) mais cela devient nécessaire pour la production (ton beau site Web ouvert à tou(te)s).

Danièle7 · 17 Septembre 2022

bompi a dit:
Bonjour,

là je n’ai pas beaucoup de temps mais je dois pouvoir déjà dire que :

Eclipse est un projet indépendant et s’ils veulent être dans le magasin d’application d’Apple, c’est à eux de faire les démarches et pas l’inverse ; ils ne le feront probablement jamais parce que ça ne présente aucun intérêt, sinon une perte de temps et d’énergie ; quand on veut utiliser Eclipse, on le télécharge et on l’installe (c’est facile et tout développeur le fera assez aisément) ;

la personne qui te suit est sans doute compétente mais pas en sécurité ;

le problème des mots de passe pour accéder aux bases de données est dur à régler (ou alors quelqu’un a trouvé une super méthode et dans ce cas on va la trouver…)

Il faudrait que tu exposes simplement et posément ce que tu fais et le contexte : ça doit tourner sur UN serveur, ou sur plusieurs serveurs, ça utilise des conteneurs ou pas, c’est un service Web ou un site Web etc. Il est difficile de bien s’orienter quand on ne connaît pas le projet.

Par ailleurs : SSL ne coûte rien et tu peux créer un certificat personnel pour rien non plus. Ce qui coûte est de le faire authentifier par un tiers (Thawte, Verisign (toutes deux chez Symantec) mais il y en d’autres). Pour le développement, l'authentification par un tiers n’est généralement pas faite (pas gênant) mais cela devient nécessaire pour la production (ton beau site Web ouvert à tou(te)s).

Merci de votre réponse.
En fait, le projet: c'est un programme d'un parking de stationnement de véhicule, qui communique avec une base de données, où il enregistre l'entrée et la sortie des véhicules, fait les calculs de la durée où elles sont restées... et de combien ça leur coûte et si ces plaques d'immatriculation sont déjà passées par le passé par là ou pas (/réduction du prix de stationnement)

love_leeloo · 17 Septembre 2022

je n'ai absolument rien compris à la demande :wacky:

ericse · 17 Septembre 2022

Danièle7 a dit:
Merci de votre réponse.
En fait, le projet: c'est un programme d'un parking de stationnement de véhicule, qui communique avec une base de données, où il enregistre l'entrée et la sortie des véhicules, fait les calculs de la durée où elles sont restées... et de combien ça leur coûte et si ces plaques d'immatriculation sont déjà passées par le passé par là ou pas (/réduction du prix de stationnement)

Bonjour,
Ca c'est la description fonctionnelle, mais il faudrait surtout que tu explique le contexte technique.

Danièle7 · 17 Septembre 2022

ericse a dit:
Bonjour,
Ca c'est la description fonctionnelle, mais il faudrait surtout que tu explique le contexte technique.

En fait, je devais réaliser ce travail... Mon mentor m'a dit que je devais laisser la connexion et identifiant My SQL tel quel presque, et à me dire de ne pas toucher "root" et en mot de passe, écrire un truc surtout court et simple, que ça ne risquait rien, qu'il me l'assurait. Il a aussi pris la main pour faire différentes choses que, vue la vitesse, pas eu le temps de suivre et lui à pas tout me dire. Vers la fin de la session de mentorat, il m'a dit de coller sur mon GitHub mon programme comme ça, en clair, comme il est sur le lien là joint.
Après avoir push, quelques heures après, mon Mac s'est mis à me faire des demandes de connexion Eclipse qui m'ont un peu surpris... A la fin à accepter car me dire que ptet lié à ce travail, étant novice...
Puis, le lendemain matin, ça a été pire...
Au bout de quelques jours où j'ai eu vraiment l'impression d'avoir une m sur l'ordi et où le Mac n'avait plus les commandes sur rien, même en collant les pare-feux etc. au max, et alerté mon mentor qui n'a pas répondu et où on m'a juste rappelé ma date de session...
Ben j'ai fini par changer d'antivirus (j'avais Bitdefender). L'antivirus que j'ai mis a aussitôt alerté que j'avais un log4j-Core infecté. Il l'a collé en quarantaine. Et je lui ai dit de réparer.
Mais si un peu moins d'agitation après ça, ma mise à jour antivirale ne se faisait pas, et ma mise à jour Apple était, elle-aussi bloquée: ça m'indiquait que une, mais ça ne l'installait pas.
Un informaticien non Apple que connait ma mère, m'a répondu par sms que mon disque devait être endommagé. J'ai donc fait un démarrage comme quand on veut toucher au noyau. Là, j'ai été faire un diagnostic et apparemment y'avait à réparer... Après quoi là ça a accepté, au redémarrage, d'installer les mises à jour...
Mais j'ai eu après d'autres soucis dont indication de deux fois les mêmes choses demandant l'accès et lequel est le vrai ou? L'impossibilité d'éteindre l'ordinateur, de fermer la session et apparemment un truc à se faire seul sans que je sache quoi, etc.
J'ai donc confié mon ordi à un Apple agrée, qui l'a gardé le WE (pris vendredi rendu lundi) et qui me l'a rendu avec tas de fenêtres ouvertes et de trucs? et m'a dit ne rien avoir vu, etc.
Et à peine chez moi, moi, j'ai vu que avant que je paie (ticket bancaire de CB), l'ordi a eu "une erreur grave système". Et d'autres problèmes apparemment, et moi à continuer à avoir des soucis...
Le gars, en +, non seulement il avait repris son document au moment de la récupération de l'ordi, mais il m'a fait payé, m'a dit qu'il m'enverrait la facture et son détail, et en fait, à part le ticket de carte bancaire eu tout de suite, je n'ai en fait rien eu.
L'informaticien que connait ma mère m'a dit que j'avais tjrs des pb, et il fallait absolument que ou je change de disque ou vraiment le nettoyer, le réinitialiser et changer d'identifiant et vu que sous garantie, il fallait un agrée Appel tjrs.
J'ai donc été ailleurs où là on m'a dit qu'il fallait tout virer et remettre à l'état d'usine et effectivement changer d'identifiant.

Je n'ai plus eu de soucis après. Mais j'ai peur. Et en +, tous les informaticiens m'ont dit que je n'aurais jamais dû mettre en clair les éléments de connexion à My SQL, surtout dans un programme collé sur GitHub, qu'on ne doit pas faire ça, et surtout un mot de passe aussi simple (moins de 8 caractères et juste lettres et 2 chiffres, comme m'a dit le mentor, qui trouve qu'avoir mis ça, déjà trop). Donc à chercher sur internet... Mon mentor me dit que ça n'est pas demandé dans le projet, que je dois laisser comme c'est, qu'on nous forme à être développeurs, pas dans la cybersécurité, donc qu'il refuse de m'aider à sécuriser la connexion dans ce projet. A laisser entendre que je suis parano et que ça ne s'est jamais vu une infection pour un programme comme ça mis sur GitHub ou qu'un étudiant en programmation se fasse infecter.

Donc je cherche de l'aide pour limiter ma perte de temps tout en réussissant à sécuriser mon environnement sur ce projet avant de le recoller sur mon ordinateur. Car j'ai refusé pour le moment de remettre avant de savoir précisément comment réinstaller correctement tout.
Pour le moment, le My SQL que j'ai remis (et sans que ça calme la colère et la douche froide eue de mon mentor à refuser de laisser le programme tel quel sans changer les versions et en ôtant juste les beugs et en cherchant à faire les tests), j'ai changé son identifiant pour qu'il ne soit pas administrateur de mon ordinateur... et n'ait pas droit à tout... et j'ai mis un mot de passe qui occupe. Mais là aussi, je ne sais quel mode de mot de passe j'aurais dû choisir (y'a 3 possibilités sur Workbench) Après, je ne sais si je dois changer le localhost ou pas et mettre quoi et comment pour ça, je retouche après sur l'ordi.
Enfin, reste le problème du programme et comment je l'intègre, modifie le programme pour pouvoir me connecter à ma base mais sans prendre de risque, même si je mets sur GitHub mon programme comme me le demande le mentor.

Dire aussi que pendant que j'avais confié mon Mac book pro M1 Monterey à nettoyer, j'avais installé Eclipse et tout le reste sur mon vieil ordi (oublié le type. Plus que des mises à jour de sécurité) Mac, et assez rapidement, lui aussi, il s'est mis à faire des choses bizarres. Le curseur à se balader, ouvrir, fermer des programmes, etc. sans que je ne touche absolument rien. Comme si quelqu'un avait la main. Et ça n'a cessé que quand j'ai viré Eclipse et tout le reste que j'avais mis pour bosser sur ce travail.

Ci-dessous le programme.

Danièle7 · 17 Septembre 2022

Lien GitHub du programme initial

"Vous venez de commencer à travailler chez Move’it, une société qui se spécialise dans les solutions de mobilité et de transport en zones urbaines. Move’it collabore avec des établissements publics afin d’améliorer la circulation et la gestion des parkings dans les villes. La société a récemment démarré un nouveau système de paiement de parking automatisé appelé Park’it. Bien que l’application soit encore en début de développement, l’équipe produit est enthousiaste à l’idée de passer progressivement cette application bêta initiale en produit phare, afin que la société l’utilise dans tous ses parkings."

https://openclassrooms.com/fr/paths/513/projects/611/assignment Page 1 sur 6

"Étant donné que Tek, le développeur travaillant sur ce projet, a été transféré dans une autre société, vous avez été embauché comme nouvel employé à plein temps, afin de reprendre le développement de l’application.
Après un accueil chaleureux de votre nouvelle équipe le premier jour, vous retournez à votre bureau et commencez à configurer votre ordinateur. Lorsque vous ouvrez votre boîte de réception, vous remarquez qu’un e-mail marqué « urgent » a été envoyé par Will, le développeur avec qui vous avez passé les entretiens."

Objet : URGENT Bienvenue ! + informations pour ton premier projet De : Will Hopper
À : moi Salut !
J’espère que tu es bien installé. Comme nous en avons discuté à ton entretien, nous tenons vraiment à ce que quelqu’un prenne en charge Park’it, notre nouvelle application de paiement de parking. Après quelques bêta-tests initiaux, nous avons décidé de la faire évoluer et de la mettre à disposition d’un groupe plus large d’utilisateurs. Jusqu’à présent, nous l’avons testée avec quelques personnes internes à la société. Voici les différentes fonctionnalités de l’application :
en lançant l’application, l’utilisateur doit sélectionner une action : entrer dans le parking ou en sortir (ou quitter l’application) ;
lorsque l’utilisateur entre, le système demande le type de véhicule (voiture ou moto) et le numéro de la plaque d’immatriculation, puis laisse entrer l’utilisateur si une place est disponible. Il indique également à l’utilisateur où se garer;
lorsqu’il quitte le parking, l’utilisateur indique à nouveau son numéro de plaque d’immatriculation. Le système calcule alors et affiche le prix en fonction de la durée de stationnement et du type de véhicule, puis revient au menu d’accueil. Le paiement n’est pas encore traité.

https://openclassrooms.com/fr/paths/513/projects/611/assignment Page 2 sur 6

Du moins, c’est ce que l’application est censée faire, mais elle présente plusieurs bugs qui doivent être corrigés. C’est là que tu interviens ! Nous devons éponger notre dette, introduire des tests et ajouter toute une série de fonctionnalités attendues par l’équipe produit. Voilà ce que tu devras faire dans l’application :
ajouter une fonctionnalité de stationnement gratuit pour les 30 premières minutes ; ajouter une réduction de 5 % pour les utilisateurs récurrents ;
corriger le code afin qu’il valide tous les tests unitaires ;
effectuer les tests d’intégration marqués par les commentaires “TODO”. (le todo)
L’application est encore au stade de bêta. Pour l’instant, il n’y a que le back-end, et l’interface est un terminal de commande qui sera bientôt remplacé par une interface graphique en HTML.
Avant de partir, Tek a rassemblé les informations dont tu as besoin pour pouvoir travailler sur ce projet. Les user stories et les bugs que tu devras gérer sont tous détaillés dans la colonne « Backlog » du tableau de sprint numérique du projet. le kit "on boarding"
Puisque tu es nouveau dans l’équipe, j’aimerais que tu consultes notre nouveau kit technique d’onboarding pour démarrer plus facilement. Cela te donnera des critères sur notre méthode de création de logiciels ici, y compris l’utilisation des outils de test, tels que JaCoCo et SureFire. J’aimerais que tu m’envoies à la fin du projet les rapports générés par ces outils. Je sais que pas mal de choses sont nouvelles pour toi, mais toutes ces infos te donneront un bon point de départ. De plus, le lien GitHub du projet est ici, assure-toi de consulter le README pour savoir comment exécuter le code et les tests.
Pour respecter nos critères, applique de nombreux tests unitaires dans ton code. Il nous faut également beaucoup de tests d’intégration de qualité. Nous attendons une couverture de code de 60 à 70 % pour toute l'application. Lors de l’entretien, j’ai été impressionné par ta capacité à être très stratégique dans la rédaction de tes tests. J’ai hâte de voir tes conclusions.
Assure-toi de documenter ton travail à l’aide de commentaires, car nous allons faire grossir l’équipe Développement sur ce projet. Nous devons donc pouvoir facilement présenter le travail que tu auras fait.
J’aimerais également que nous regardions le code et tes rapports de tests ensemble, une fois que tu auras terminé. Ça me permettra de voir si tu es bien intégré à Move’it et si tu as bien intégré nos principes d’ingénierie logicielle. Désolé de te laisser tout ce travail pendant mon absence, mais je suis sûr que tu seras à la hauteur !
Merci !"
Will Hopper
Développeur chez Move'it
On peut dire que vous avez du pain sur la planche ! Alors il est temps de sortir votre clavier, bon courage !

love_leeloo · 17 Septembre 2022

j'ai toujours rien compris :wacky:

bon je vous laisse

ericse · 17 Septembre 2022

Ok, si je comprends bien tu fais un projet pour une école, projet fonctionnant entièrement (pages web et serveur MySQL) en local sur ton ordinateur (via l'adresse localhost probablement). Pour ça ton mentor t'a dit de ne pas t'embêter avec la sécurité, de mettre un mot de passe simple et de publier en clair sur GitHub, et que ça ne craignait rien. C'est ça ?

Bon, sur la forme il a raison, ça ne crains rien, parce que ton appli et ton serveur MySQL ne sont pas accessible depuis internet.

Sur le fond il a tord, parce qu'aujourd'hui la sécurité doit être incluse dès le début de tous les projets, et s'appliquer intégralement à chaque niveau et chaque étape du développement. Mais bon on n'a pas que des flèches chez les enseignants...

Pour en revenir à ton Mac, à moins qu'il ne t'ai aussi demandé de le mettre en accès direct sur internet (on n'est plus à ça près), la publication sur GitHub n'est pas la cause de tes problèmes.

Danièle7 · 18 Septembre 2022

ericse a dit:
Ok, si je comprends bien tu fais un projet pour une école, projet fonctionnant entièrement (pages web et serveur MySQL) en local sur ton ordinateur (via l'adresse localhost probablement). Pour ça ton mentor t'a dit de ne pas t'embêter avec la sécurité, de mettre un mot de passe simple et de publier en clair sur GitHub, et que ça ne craignait rien. C'est ça ?

Bon, sur la forme il a raison, ça ne crains rien, parce que ton appli et ton serveur MySQL ne sont pas accessible depuis internet.

Sur le fond il a tord, parce qu'aujourd'hui la sécurité doit être incluse dès le début de tous les projets, et s'appliquer intégralement à chaque niveau et chaque étape du développement. Mais bon on n'a pas que des flèches chez les enseignants...

Pour en revenir à ton Mac, à moins qu'il ne t'ai aussi demandé de le mettre en accès direct sur internet (on n'est plus à ça près), la publication sur GitHub n'est pas la cause de tes problèmes.

je ne sais ce qu'est l'accès direct... Le problème (finalement) de cette formation, c'est qu'on nous donne que des brides... au fond... pour une histoire de temps de formation... Mais, du coups, y'a plein de choses que ??? quand on n'a aucune formation de base en informatique et dans le numérique...
Donc oui, on doit reprendre leur programme, enlever les coquilles (mais pas celles de sécurité ni de mise-à-jour...) etc.

Et je souhaiterais savoir comment on peut masquer ses identifiants de connexion à My SQL dans un programme tout en permettant au programme de se connecter à la base de données, les différentes techniques existantes. Et quand on dit de mettre le fichier "en-dehors", comment et en quoi ça change quoique ce soit et comment on configure dans ce cas pour que cela change quelque chose.

J'aimerais aussi savoir comment on sait si internet a accès ou non à sa base de données, comment cela marche.
Car j'ai du mal à utiliser un outil sans le comprendre, sans un peu + le prendre en main et le comprendre. Pas juste obéir à un ordre de coller ci à tel endroit et... sans réaliser du tout ni savoir une autre fois faire autrement et adapter selon les cas et le comprendre et savoir le faire.

Donc quelqu'un peut-il me donner ces infos? Merci. Pour ceux qui n'ont pas de problème de crétinisme.

ericse · 18 Septembre 2022

Danièle7 a dit:
je ne sais ce qu'est l'accès direct...

Ton projet est déployé sur ta machine ou dans un datacenter ?
Le serveur Web et MySQL sont sur la même machine ou 2 machines différentes ?
Dans ton appli Web, tu fais référence au serveur MySDL en utilisant l'adresse "localhost", une IP, une adresse autre ?

Ceci dit, c'est bien de vouloir tout comprendre, mais ne perds pas de vue que l'important c'est surtout de comprendre ce sur quoi tu vas être évalué par l'enseignant.

Danièle7 · 18 Septembre 2022

ericse a dit:
Ton projet est déployé sur ta machine ou dans un datacenter ?
Le serveur Web et MySQL sont sur la même machine ou 2 machines différentes ?
Dans ton appli Web, tu fais référence au serveur MySDL en utilisant l'adresse "localhost", une IP, une adresse autre ?

Ceci dit, c'est bien de vouloir tout comprendre, mais ne perds pas de vue que l'important c'est surtout de comprendre ce sur quoi tu vas être évalué par l'enseignant.

Mon projet est déployé dans Eclipse sur mon ordinateur avec les fichiers qui peuvent rester ou en ligne sur GitHub ou sur mon ordinateur (j'ai eu les deux cas de figure. Au début en ligne, resté sur GitHub, et sur Eclipse (qui avait récupéré le lien) et à un moment donné, ayant voulu modifier GitHub pour tenter de masquer en ligne l'adresse et mot de passe et identifiant (après avoir commencé à avoir des anomalies et problèmes) et ayant du mal après à faire la jonction entre Eclipse et GitHub, j'ai collé le programme directement sur mon ordinateur. Dans tous les cas dans Eclipse qui est sur mon ordinateur.
Serveur Web et My SQL différents? Aucune idée... Juste qu'on m'a fait mettre Workbench et que cette fois, My SQL, je l'ai mis via terminal et en suivant un truc en ligne qui conseille d'ôter root comme identifiant et qui fait aussi ôter les privilèges et je ne sais plus quoi qu'il y a au départ, pour faire table rase au départ pour ne pas permettre d'utiliser ces éléments contre celui qui a cette base de données.
Mais après, ce n'est pas clair...
https://kinsta.com/fr/base-de-connaissances/mysql-community-server/

Bloc de code:

 public Connection getConnection() throws ClassNotFoundException, SQLException {
        logger.info("Create DB connection");
        Class.forName("com.mysql.cj.jdbc.Driver");
        return DriverManager.getConnection(
                "jdbc:mysql://localhost:3306/prod","root","rootroot");
    }

donc c'est un localhost (donc locale uniquement). Mais dans le programme, avec les bibliothèques, que je suppose vont en ligne (non?), est-ce que tout ne se passe qu'en local? Pas sûr... Car je ne sais comment j'ai pu me prendre un log4j-Core infecté "comme ça" et qui, en +, était au milieu des fichiers des log du programme... Et les premières anomalies ont été des demandes d'ECLIPSE qui faisait des demandes d'autorisation de connexion... (avant jamais). Et ce, sans que moi, je ne touche le moindre truc de log. Y'avait juste eu mon mentor, qui après avoir fait ??? m'avait demandé de changer le nom d'un dossier sur lequel il avait collé la flèche et à me dire de rajouter le "2" au j. Et + tard, post session, quand j'ai voulu aller regarder ce qu'il avait mis dedans, je n'ai pas réussi à retrouver ce dossier, il avait disparu comme par magie. Comme je débute dans le domaine, même si surprise, je me suis dit que ces trucs là, une fois écrit, disparaissent par sécurité...
Du coups...

Perso, du coups, pour le moment, c'est encore un peu ce code, sauf que plus "root" pour empêcher de toucher au système (pas administrateur, et pas accès à tout. Par contre, je ne sais comment on configure + précisément derrière (ne lui laisser que...), à part juste interdire un accès administrateur: aurait-il fallu que je partage mon disque? Est-il possible de le faire encore après avoir déjà installé Git et tout le reste ou il faudrait tout ré initialiser et faire un bout de disque rien que pour l'utilisateur en question et y coller Eclipse, Git, etc.?)

Comment puis-je rendre invisible mais lisible donc l'identifiant et le mot de passe? (Même si, depuis le log eu, j'ai revu mon GitHub... pour le rendre moins accessible)

Effectivement, savoir sur quoi on est évalué est important... Mais étant donné ma situation personnelle, il est important que je puisse aller au-delà (je suis reconnue comme victime de harcèlement en bande et ce harcèlement va très loin (on a détruit PHYSIQUEMENT du matériel informatique que je possédais y'a quelques années... pour ce qui concerne la partie informatique. Et j'ai déjà subit de très nombreuses tentatives de hameçonnage très personnalisées (liées à ma situation du moment, à mes origines, à mon état de santé du moment, etc. et utilisant l'identité de personnes précises. Et d'autres choses qui font que pas de doute possible)) Et apprendre à savoir faire n'est pas quelque chose inutile. Donc je ne comprends pas ce refus de former dans ce domaine ou déjà donner quelques informations dans ce sens.

ericse · 18 Septembre 2022

Danièle7 a dit:
Mon projet est déployé dans Eclipse sur mon ordinateur avec les fichiers qui peuvent rester ou en ligne sur GitHub ou sur mon ordinateur (j'ai eu les deux cas de figure. Au début en ligne, resté sur GitHub, et sur Eclipse (qui avait récupéré le lien) et à un moment donné, ayant voulu modifier GitHub pour tenter de masquer en ligne l'adresse et mot de passe et identifiant (après avoir commencé à avoir des anomalies et problèmes) et ayant du mal après à faire la jonction entre Eclipse et GitHub, j'ai collé le programme directement sur mon ordinateur. Dans tous les cas dans Eclipse qui est sur mon ordinateur.

La tu confonds les sources et l'executable de ton programme, pas grave tu verras ça lors de ta formation.

Danièle7 a dit:
Serveur Web et My SQL différents? Aucune idée... Juste qu'on m'a fait mettre Workbench et que cette fois, My SQL, je l'ai mis via terminal et en suivant un truc en ligne qui conseille d'ôter root comme identifiant et qui fait aussi ôter les privilèges et je ne sais plus quoi qu'il y a au départ, pour faire table rase au départ pour ne pas permettre d'utiliser ces éléments contre celui qui a cette base de données.
Mais après, ce n'est pas clair...
https://kinsta.com/fr/base-de-connaissances/mysql-community-server/

Bloc de code:

public Connection getConnection() throws ClassNotFoundException, SQLException { logger.info("Create DB connection"); Class.forName("com.mysql.cj.jdbc.Driver"); return DriverManager.getConnection( "jdbc:mysql://localhost:3306/prod","root","rootroot"); }

donc c'est un localhost (donc locale uniquement).

Oui c'est tout ce que je cherchais à vérifier. Donc non ton application n'est pas la cause d'un risque quelconque de piratage à distance, quelque soit le mot de passe et la publication sur GitHub. Tu as peut-être un risque causé par autre chose, mais pas ça.

Danièle7 a dit:
Mais dans le programme, avec les bibliothèques, que je suppose vont en ligne (non?), est-ce que tout ne se passe qu'en local? Pas sûr... Car je ne sais comment j'ai pu me prendre un log4j-Core infecté "comme ça"

Tu as installé une version un peu ancienne de log4j qui comporte une faille, cette faille était là depuis le début, elle n'est pas arrivée après coup, mais comme c'est sur un poste de développement ça n'a aucune importance (hormis le respect des bonnes pratiques mais ton prof n'a pas l'air d'y être sensible).

Danièle7 a dit:
et qui, en +, était au milieu des fichiers des log du programme... Et les premières anomalies ont été des demandes d'ECLIPSE qui faisait des demandes d'autorisation de connexion... (avant jamais). Et ce, sans que moi, je ne touche le moindre truc de log. Y'avait juste eu mon mentor, qui après avoir fait ??? m'avait demandé de changer le nom d'un dossier sur lequel il avait collé la flèche et à me dire de rajouter le "2" au j. Et + tard, post session, quand j'ai voulu aller regarder ce qu'il avait mis dedans, je n'ai pas réussi à retrouver ce dossier, il avait disparu comme par magie. Comme je débute dans le domaine, même si surprise, je me suis dit que ces trucs là, une fois écrit, disparaissent par sécurité...
Du coups...

Perso, du coups, pour le moment, c'est encore un peu ce code, sauf que plus "root" pour empêcher de toucher au système (pas administrateur, et pas accès à tout. Par contre, je ne sais comment on configure + précisément derrière (ne lui laisser que...), à part juste interdire un accès administrateur: aurait-il fallu que je partage mon disque? Est-il possible de le faire encore après avoir déjà installé Git et tout le reste ou il faudrait tout ré initialiser et faire un bout de disque rien que pour l'utilisateur en question et y coller Eclipse, Git, etc.?)

...

Danièle7 a dit:
Comment puis-je rendre invisible mais lisible donc l'identifiant et le mot de passe? (Même si, depuis le log eu, j'ai revu mon GitHub... pour le rendre moins accessible)

Totalement invisible c'est très compliqué, et rarement nécessaire, il suffit de le rendre invisible sur GitHub.
Le plus simple c'est d'exclure de GitHub le fichier contenant le mot de passe, par exemple avec un .gitignore

Danièle7 a dit:
Effectivement, savoir sur quoi on est évalué est important... Mais étant donné ma situation personnelle, il est important que je puisse aller au-delà (je suis reconnue comme victime de harcèlement en bande et ce harcèlement va très loin (on a détruit PHYSIQUEMENT du matériel informatique que je possédais y'a quelques années... pour ce qui concerne la partie informatique. Et j'ai déjà subit de très nombreuses tentatives de hameçonnage très personnalisées (liées à ma situation du moment, à mes origines, à mon état de santé du moment, etc. et utilisant l'identité de personnes précises. Et d'autres choses qui font que pas de doute possible)) Et apprendre à savoir faire n'est pas quelque chose inutile. Donc je ne comprends pas ce refus de former dans ce domaine ou déjà donner quelques informations dans ce sens.

Dans ce cas il te faut aussi suivre une formation à la sécurité informatique, c'est un domine assez riche pour nécessiter une formation à part. Moi je ne parlais que du minimum de mesure de sécurité que tout développeur devrait intégrer à ses projets pour les protéger eux et les données qu'ils contiennent.

Danièle7 · 18 Septembre 2022

ericse a dit:
La tu confonds les sources et l'executable de ton programme, pas grave tu verras ça lors de ta formation.

Oui c'est tout ce que je cherchais à vérifier. Donc non ton application n'est pas la cause d'un risque quelconque de piratage à distance, quelque soit le mot de passe et la publication sur GitHub. Tu as peut-être un risque causé par autre chose, mais pas ça.

Tu as installé une version un peu ancienne de log4j qui comporte une faille, cette faille était là depuis le début, elle n'est pas arrivée après coup, mais comme c'est sur un poste de développement ça n'a aucune importance (hormis le respect des bonnes pratiques mais ton prof n'a pas l'air d'y être sensible).

...

Totalement invisible c'est très compliqué, et rarement nécessaire, il suffit de le rendre invisible sur GitHub.
Le plus simple c'est d'exclure de GitHub le fichier contenant le mot de passe, par exemple avec un .gitignore

Dans ce cas il te faut aussi suivre une formation à la sécurité informatique, c'est un domine assez riche pour nécessiter une formation à part. Moi je ne parlais que du minimum de mesure de sécurité que tout développeur devrait intégrer à ses projets pour les protéger eux et les données qu'ils contiennent.

j'oubliais: pour le SQL, la modification qu'il avait aussi mise: "jdbc:mysql://localhost:3306/prod?serverTimezone=UTC","root","ForeT2539Chaux");

Comme tu parlais de serveur... (et le mot de passe, c'était le + court et simple qu'il avait obtenu de moi... Là, je peux dire qu'il pulvérise en caractères de toutes sortes, qui ne veulent rien dire dans aucune langue à aucun moment (et qui n'est pas tiré du machin non plus. J'ai mis le paquet... mais je sais que ça n'empêchera pas de. Faudra que je m'amuse à le modifier aussi, probablement, si certains font joujoux et n'ont rien d'autres à f... sans doute...

Là, je suis en train de m'imprimer le dernier programme qu'avait retouché GitHub (qui avait mis les warning de vulnérabilités des versions...) avant de le supprimer de là où il était, pour remettre à zéro, apporter moi-même les corrections qui se justifient, voir si ok au passage. Et ne pas garder les trucs qui sont de Eclipse et autre de l'ordi d'avant. Et repartir dès aujourd'hui sur de bonnes bases... Et voir si ça passe entre Eclipse et la base de données avec l'utilisateur lambda... (j'espère).

Oui, je vais mettre un Gitignore même si mon GitHub est normalement sécurisé... (normalement. Mais je ne doute pas que certains ont une vie tellement dépourvue d'intérêt qu'apparemment ils n'ont rien d'autres à f que de passer leur temps à pourrir celle des autres... qui, eux, pourtant, ne s'ennuyaient pas et pas besoin de ça ni d'eux, d'ailleurs... S'ils consacraient + leur temps pour des bonnes actions, que le monde se porterait mieux... Mais faut pas trop en demander, sans doute...)

Dans tous les cas, merci, même si j'aurais bien aimé savoir comment faire pour compliquer un peu + la tâche aux emm...
Je vais avancer dans ma repose de.

Ah, dernière question, pourquoi quand je suis sur GitHub, des fois ma sécurité internet "saute" et change la sécurité du VPN? (Moi, par sécurité, je laisse le pare-feu en extérieur-danger, en + du VPN, et des fois, le pare-feu saute et se met en travail et domicile derrière, à devoir aussitôt le recoller en extérieur? Comment le faire maintenir comme je le colle sans être obligée de modifier directement les paramètres de domicile en + élevés? Est-ce lié au mode furtif en parallèle?) (Et si je colle le pare-feu haut alors que VPN, c'est vue l'actualité où certains passent via le VPN et ne sont donc apparemment pas arrêté derrière par le filtre pare-feu. Donc j'ai tenté de configurer pour que le pare-feu ne tienne pas compte que devant le VPN et considère que tout ce qui vient même via le VPN peut être une menace. Mais comme je ne maitrise pas tout...)

Danièle7 · 18 Septembre 2022

ericse a dit:
La tu confonds les sources et l'executable de ton programme, pas grave tu verras ça lors de ta formation.

Oui c'est tout ce que je cherchais à vérifier. Donc non ton application n'est pas la cause d'un risque quelconque de piratage à distance, quelque soit le mot de passe et la publication sur GitHub. Tu as peut-être un risque causé par autre chose, mais pas ça.

Tu as installé une version un peu ancienne de log4j qui comporte une faille, cette faille était là depuis le début, elle n'est pas arrivée après coup, mais comme c'est sur un poste de développement ça n'a aucune importance (hormis le respect des bonnes pratiques mais ton prof n'a pas l'air d'y être sensible).

...

Totalement invisible c'est très compliqué, et rarement nécessaire, il suffit de le rendre invisible sur GitHub.
Le plus simple c'est d'exclure de GitHub le fichier contenant le mot de passe, par exemple avec un .gitignore

Dans ce cas il te faut aussi suivre une formation à la sécurité informatique, c'est un domine assez riche pour nécessiter une formation à part. Moi je ne parlais que du minimum de mesure de sécurité que tout développeur devrait intégrer à ses projets pour les protéger eux et les données qu'ils contiennent.

Et au fait, merci!!!

Bon, j'ai viré de GitHub mon ancien programme...
J'ai mis celui d'Openclassroom. Comme ça, bien lui initial... Et là, je commence à lui coller les modifications de sécurité d'abord... Puis je mettrais le reste (facile, j'ai gardé une capture des commits qui avaient été faites avant... Donc je peux aller direct...) Par contre, je ne m'explique tjrs pas pourquoi mon paramètre de réseau change tout seul de temps en temps... Ça, c'est un truc qu'il va falloir que je sache... Car je ne suis toujours pas sûr d'être totalement libérée... Même si je n'ai rien repris d'avant. Vraiment rien.

Une chose que vous sauriez peut-être m'expliquer: AVANT, Workbench apparaissait en bas dans mes préférences système, de façon spéciale. Maintenant, il se comporte comme une simple application. (Je n'ai accordé aucune extension système). A quoi est dû ce changement?

Danièle7 · 19 Septembre 2022

ericse a dit:
La tu confonds les sources et l'executable de ton programme, pas grave tu verras ça lors de ta formation.

Oui c'est tout ce que je cherchais à vérifier. Donc non ton application n'est pas la cause d'un risque quelconque de piratage à distance, quelque soit le mot de passe et la publication sur GitHub. Tu as peut-être un risque causé par autre chose, mais pas ça.

Tu as installé une version un peu ancienne de log4j qui comporte une faille, cette faille était là depuis le début, elle n'est pas arrivée après coup, mais comme c'est sur un poste de développement ça n'a aucune importance (hormis le respect des bonnes pratiques mais ton prof n'a pas l'air d'y être sensible).

...

Totalement invisible c'est très compliqué, et rarement nécessaire, il suffit de le rendre invisible sur GitHub.
Le plus simple c'est d'exclure de GitHub le fichier contenant le mot de passe, par exemple avec un .gitignore

Dans ce cas il te faut aussi suivre une formation à la sécurité informatique, c'est un domine assez riche pour nécessiter une formation à part. Moi je ne parlais que du minimum de mesure de sécurité que tout développeur devrait intégrer à ses projets pour les protéger eux et les données qu'ils contiennent.

Merci encore Ericse.

Danièle7 · 19 Septembre 2022

ericse a dit:
La tu confonds les sources et l'executable de ton programme, pas grave tu verras ça lors de ta formation.

Oui c'est tout ce que je cherchais à vérifier. Donc non ton application n'est pas la cause d'un risque quelconque de piratage à distance, quelque soit le mot de passe et la publication sur GitHub. Tu as peut-être un risque causé par autre chose, mais pas ça.

Tu as installé une version un peu ancienne de log4j qui comporte une faille, cette faille était là depuis le début, elle n'est pas arrivée après coup, mais comme c'est sur un poste de développement ça n'a aucune importance (hormis le respect des bonnes pratiques mais ton prof n'a pas l'air d'y être sensible).

...

Totalement invisible c'est très compliqué, et rarement nécessaire, il suffit de le rendre invisible sur GitHub.
Le plus simple c'est d'exclure de GitHub le fichier contenant le mot de passe, par exemple avec un .gitignore

Dans ce cas il te faut aussi suivre une formation à la sécurité informatique, c'est un domine assez riche pour nécessiter une formation à part. Moi je ne parlais que du minimum de mesure de sécurité que tout développeur devrait intégrer à ses projets pour les protéger eux et les données qu'ils contiennent.

juste dernière remarque: comme je l'ai écrit sur l'autre endroit prévu pour: ce matin, mon écran d'accueil me proposait mon autre utilisateur (en + de l'admin habituel). Pourtant, hier, je ne l'ai pas utilisé. Et d'habitude, il n'apparait pas sur l'écran d'accueil. Donc ???

ericse · 19 Septembre 2022

Danièle7 a dit:
juste dernière remarque: comme je l'ai écrit sur l'autre endroit prévu pour: ce matin, mon écran d'accueil me proposait mon autre utilisateur (en + de l'admin habituel). Pourtant, hier, je ne l'ai pas utilisé. Et d'habitude, il n'apparait pas sur l'écran d'accueil. Donc ???

Les autre utilisateurs apparaissent lorsque l'on a fermé sa session ou redémarré le Mac, mais si on a juste verrouillé la session seul le compte verrouillé apparait.

Danièle7 · 19 Septembre 2022

ericse a dit:
Les autre utilisateurs apparaissent lorsque l'on a fermé sa session ou redémarré le Mac, mais si on a juste verrouillé la session seul le compte verrouillé apparait.

merci. Là, je suis en train de découvrir (et me prendre un peu la tête...) sur la création d'un autre utilisateur et tout ce que ça entraine et comment jongler... Et attention, virus ORL apparemment: je suis plutôt casanière et hier déjà les oreilles et un peu... et aujourd'hui fièvre, nez, etc. (youpi). Donc ça doit commencer à circuler les uo avec la baisse des températures...
Je vais voir pour pouvoir reprendre où j'en étais dès demain. (J'ai fini mes retouches sur GitHub, collé sur mon utilisateur le dossier, etc. Je rame juste avec Eclipse car j'ai fait une manip que je n'aurais pas dû faire, du coups...)

comment sécuriser ma connexion à My SQL Workbench et comment rédiger organiser mon programme avec l'info de connexion CLAIREMENT (exemples)? Etc.

Danièle7

Membre confirmé

bompi

El Moderador

Danièle7

Membre confirmé

love_leeloo

In Tartiflette We Trust

ericse

Membre expert

Danièle7

Membre confirmé

Danièle7

Membre confirmé

love_leeloo

In Tartiflette We Trust

ericse

Membre expert

Danièle7

Membre confirmé

ericse

Membre expert

Danièle7

Membre confirmé

ericse

Membre expert

Danièle7

Membre confirmé

Danièle7

Membre confirmé

Danièle7

Membre confirmé

Danièle7

Membre confirmé

ericse

Membre expert

Danièle7

Membre confirmé

Sujets similaires