Sécurité des cookies de sessions

Question

Voil&#224; le topo. Le client se connecte au serveur. S'il n'envoit pas de cookie de session, le serveur r&#233;pond par un 

    Set-Cookie: PHPSESSID=blabla...; path=/

bon. Une fois le cookie acquis, le client va alors envoyer &#224; chaque fois qu'il demande une page son cookie de session via un 

    Cookie: PHPSESSID=blabla...



Le probl&#232;me, le voici. Supposons que j'ai mon site &#224; l'adresse A.domain.com et consid&#233;rons un autre site B.domain.com. Si un client va sur mon site A.domain.com et ouvre une session, le browser va stocker le cookie comme appartenant au

domain A.domain.com. No problem. Mais. Si j'envoie le cookie comme ceci :

    Set-Cookie: PHPSESSID=abc; expires=Mon, 02-Aug-10 14:02:31 GMT; path=/; domain=domain.com

le cookie PHPSESSID est stock&#233; dans le browser comme appartenant au domaine .domain.com.



S'il n'y a pas de cookie PHPSESSID d&#233;fini pour B.domain.com, le browser r&#233;cup&#232;re le cookie de mon site, et se connecte avec LE MEME identifiant de session au site B.domain.com ...



Cel&#224; veut dire que le client qui est pass&#233; par le site A s'autentifiera
avec le m&#234;me num&#233;ro de session &#224; chaque fois (expires fait que ce
cookie n'est pas d&#233;truit), num&#233;ro que je connais ...



Ma question donc... &#234;tes vous au courant de ce probl&#232;me ? Quelles strat&#233;gies pour y rem&#233;dier ?



Il est possible que ce post soit hors-sujet... comme il traite de
s&#233;curit&#233; peut-&#234;tre d'un peu trop pr&#232;s... il est possible que de
nombreux sites soient vuln&#233;rables, ma motivation n'est pas de propager
une vuln&#233;rabilit&#233; mais d'essayer de trouver une solution ...

mcjoedassin · Answer

il fallait bien s&#251;r lire

  domain=.domain.com

malik7934 · Answer

Hello,



Je ne connaissais pas ce probl&#232;me, mais en lisant ton poste, je pense que ce n'est pas trop difficile de parer le probl&#232;me.



Si tu as ton premier site qui s'appelle a.domaine.com, 
$_SERVER['REQUEST_URI'] te donnera 'a' puisque a.domaine.com est la
redirection de domaine.com/a, donc il te suffit d'ajouter cette info
dans ton cookie (de mani&#232;re crypt&#233;e ou non) et de faire un strcmp entre
le $_SERVER['REQUEST_URI'] du cookie et celui du site!



Maintenant je n'exclue pas qu'il existe une solution plus simple li&#233;e directement aux cookies, mais pour &#231;a, rdv sur php.net 



Enjoy, ++

cs_GRenard · Answer

Ce n'est pas un probl&#232;me, c'est la mani&#232;re que fonctionne les cookies ... quel est le probl&#232;me r&#233;el? rem&#233;dier &#224; quoi ?

Si tu veux, jpense que tu peux mapper ton cookie sur www.domain.com ou direct sur domain.com (Sans le .)

, EssayezTestez avant de Poser une question !
http://www.lookstrike.com

mcjoedassin · Answer

l'id de session contenu dans le cookie est un secret partag&#233; entre le
client et le serveur. Si quelqu'un d'autre connait cet id, il peut se
faire passer pour le client.

Un exemple : tu vas sur perso.domain.com, tu choppes un PHPSESSID=abc sur .domain.com

Ensuite (un autre jour ...) tu vas sur mail.domain.com o&#249; tu
t'authentifies. Le webmaster de perso.domain.com peut alors lire tes
mails en utilisant comme cookie de session PHPSESSID=abc. Le serveur
voit "abc", donc il identifie la m&#234;me personne.

Le "mappage" est tr&#232;s strict... justement pour &#233;viter le vol de cookies

cs_Anthomicro · Answer

Salut, comme l'a dit Grenard ce n'est pas un problème... En gros tu as plusieurs site sur un même domaine (tu gères donc ça via des sous domaines) et t'as un problème de ce type ? bah dans "domain" pour l'enregistrement du cookie tu mets "sousdomaine.domaine.com"