Sujet Précédent Sujet Suivant

Sécurité des cookies de sessions

mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005 - 3 août 2005 à 20:37
mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005 - 5 août 2005 à 11:44

Voilà le topo. Le client se connecte au serveur. S'il n'envoit pas de cookie de session, le serveur répond par un

Set-Cookie: PHPSESSID=blabla...; path=/

bon. Une fois le cookie acquis, le client va alors envoyer à chaque fois qu'il demande une page son cookie de session via un

Cookie: PHPSESSID=blabla...

Le problème, le voici. Supposons que j'ai mon site à l'adresse A.domain.com et considérons un autre site B.domain.com. Si un client va sur mon site A.domain.com et ouvre une session, le browser va stocker le cookie comme appartenant au

domain A.domain.com. No problem. Mais. Si j'envoie le cookie comme ceci :

Set-Cookie: PHPSESSID=abc; expires=Mon, 02-Aug-10 14:02:31 GMT; path=/; domain=domain.com

le cookie PHPSESSID est stocké dans le browser comme appartenant au domaine .domain.com.

S'il n'y a pas de cookie PHPSESSID défini pour B.domain.com, le browser récupère le cookie de mon site, et se connecte avec LE MEME identifiant de session au site B.domain.com ...

Celà veut dire que le client qui est passé par le site A s'autentifiera
avec le même numéro de session à chaque fois (expires fait que ce
cookie n'est pas détruit), numéro que je connais ...

Ma question donc... êtes vous au courant de ce problème ? Quelles stratégies pour y remédier ?

Il est possible que ce post soit hors-sujet... comme il traite de
sécurité peut-être d'un peu trop près... il est possible que de
nombreux sites soient vulnérables, ma motivation n'est pas de propager
une vulnérabilité mais d'essayer de trouver une solution ...

A voir également:

Sécurité des cookies de sessions
Curl cookies - Forum PHP
Échec de l'ouverture de session de l'utilisateur sql server ✓ - Forum C# / .NET
Php sessions - Conseils pratiques -PHP
Cookies de session ✓ - Forum PHP
Variable de session php - Forum PHP

28 réponses

Réponse 21 / 28

malik7934 Messages postés 1154 Date d'inscription mardi 9 septembre 2003 Statut Membre Dernière intervention 15 août 2009 17
4 août 2005 à 15:18

On va pas me faire croire tout de meme qu'on peut pas se baser sur le nom de domaine pour differencier les cookies???

En tous cas, vu les problemes que ca genere, je suis bien comptant de pas en utiliser chez moi, hehe... good luck!

Réponse 22 / 28

mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005
4 août 2005 à 15:21

il suffit de désactiver les "domain" des cookies et ça règle le problème

Réponse 23 / 28

malik7934 Messages postés 1154 Date d'inscription mardi 9 septembre 2003 Statut Membre Dernière intervention 15 août 2009 17
4 août 2005 à 15:23

128 bits pour MD5; 160 pour SHA-1 donc 2^128 possibilites pour MD5 et 2^160 pour SHA-1

En d'autres termes, il faut compter 2^127 essais (2^159 pour SHA-1) pour retrouver un MD5!

Faut pas etre presse!!!

Réponse 24 / 28

malik7934 Messages postés 1154 Date d'inscription mardi 9 septembre 2003 Statut Membre Dernière intervention 15 août 2009 17
4 août 2005 à 15:23

Hehe... ca recommence... j'ai encore poste au mauvais endroit! Sorry!!!

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 28

cs_GRenard Messages postés 1662 Date d'inscription lundi 16 septembre 2002 Statut Membre Dernière intervention 30 juillet 2008 1
4 août 2005 à 15:32

Dans un sens, tu dis si jamais t'es sur un hébergeur gratuit et que
B.domain.com est ton ennemie, il pourrait par exemple "effacer" le
cookie de A.domain.com, (en settant ce domain du cooki à ca...) mais la
plupart des browsers desactive le cross domain des cookies.

Tk, je sais pas si c'est de ça que tu voulais parler.

, EssayezTestez avant de Poser une question !
http://www.lookstrike.com

Réponse 26 / 28

mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005
4 août 2005 à 15:35

en fait, ce qui est interdit c'est si tu es a partir de machin.fr de
mettre un cookie avec comme domaine bidule.com, c'est pas possible. De
même, par exemple le javascript te permet de faire des opérations sur
les cookies en provenance du serveur sur lequel tu as téléchargé ta
page mais en aucun cas sur les cookies en provenance des autres sites

Réponse 27 / 28

mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005
4 août 2005 à 15:38

le truc domain comme je l'ai décrit, je l'ai testé sur mon firefox et sur mon IE. Ce n'est pas une attaque théorique !

Réponse 28 / 28

mcjoedassin Messages postés 196 Date d'inscription mercredi 27 juillet 2005 Statut Membre Dernière intervention 2 septembre 2005
5 août 2005 à 11:44

Voici ce qu'il sort de ce problème :

particulièrement lorsque l'on est hébergé sous un domaine partagé,
c'est à dire pour les utilisateurs notamment de free, lycos ou ifrance
par exemple, le moyen de sécuriser une session est d'utiliser la
fonction session_regenerate_id à chaque authentification d'un
utilisateur voire à chaque page du site.

Je ne sais pas si quelqu'un lira ce post, mais je pense que ça méritait d'être dit.

Discussions similaires

Calcule Numéro de Sécurité Sociale

Echec de l'ouverture de session de l'utilisateur sa

Échec de l'ouverture de session de l'utilisateur'NomPC\UserName'. (.Net SqlClien

Problème de connexion à SQL Server 2008!!!!!!!!!!!!!

Echec de la creation d'instance SQL

Votre réponse

Discussions similaires