Bonjour Alexcraft,
Effectivement, pour pouvoir lier votre serveur à votre boutique, l'identifiant, le mot de passe ainsi que le Salt sont cryptés et stockés dans une base de données.
Mais dois-je vous rappeler que le projet MineStore est lié à l'entreprise d'hébergement SHPV ?
Celui ci est développé par moi même dans le cadre d'un futur produit commercialisé par SHPV et est donc dans le même esprit de confiance et de qualité que celui d'SHPV.
Nous disposons de plusieurs centaines client qui chaque jours en achetons chez nous des produits tels que des VPS, des hébergements Cloud, des VPN ou encore des serveurs Minecraft nous font confiance. On pourrait avoir accès à leur console de leurs serveurs Minecraft comme au contrôle de leurs VPS ainsi qu'a d'autres informations privés que nous réclamons en cas de litige mais si nous n'en abusons pas ou ne les utilisons pas comme bon nous semble, c'est qu'il existe une loi dite de "Protection de la vie privée" qui protège le client.
Imaginez la réputation d'une entreprise si celle ci se mettait à diffuser les informations privées de leurs clients !
Ensuite, pour votre méfiance pour les failles, le système MineStore est codé de manière à ne pas utiliser directement le module jSonAPI mais appel des fonctions défini auquel sont associé une jSonAPI. N'ayant aucune fonction défini lié à la modification de monde, la boutique ne peut affecter directement une map.
Pour ce qui est des autres fonctions par exemple de give lié à l'achat d'items, celle ci est inaccessible en dehors du context d'achat car il fait pouvoir être authentifier pour faire appel aux fonctions.
Il y a également les commandes d'administrations (op, gamemode) qui celles ci ne peuvent être appelé seulement par un utilisateur associé à un groupe dont les autorisations fixé en base de données, lui autorise.
Si un utilisateur lambda accède à ces fonctionnalités, c'est qu'il disposera de votre mot de passe.
Il faut savoir également que MineStore est codé d'un seul bloc et entièrement par nous, il n'y a donc pas question de code potentiellement suspect. La sécurité de la base de donnée n'est également pas à remettre en cause car celle ci est hébergé par l'entreprise sur ses serveurs et accessible uniquement en interne.
Je terminerai en précisant que l'auto hébergement sur nos serveurs de votre boutique ainsi que la structure du code qui permet d'avoir un seul code pour afficher toutes les boutiques nous permet d'intervenir très rapidement sur l'ensemble de toute les boutiques pour la correction d'une potentielle faille qui serait découverte.
J'espère avoir répondu à vos questions et avoir dispersé vos doutes concernant la sécurité de notre future produit.
Je reste à votre disposition pour de potentielles nouvelles questions,
Cordialement, Quentin.