Protection de session

[Résolu]
Signaler
Messages postés
507
Date d'inscription
jeudi 28 mars 2002
Statut
Membre
Dernière intervention
13 mai 2009
-
Messages postés
507
Date d'inscription
jeudi 28 mars 2002
Statut
Membre
Dernière intervention
13 mai 2009
-
Bonjour,



Pour la sécurité de mon appli, je stocke dans ma session les infos des utilisateurs en cours :

ID login, login, ID groupe,etc... Mais pas le passord évidemment ; )



Ces infos sont dans une class : UserNow et je la sériealize afin de la stocker dans une seule et

unique variable de session. cependant, si je fais un echo $_SESSION["objet_user_encours"] j'obtiens

les infos du user connecté.



Alors ce que j'ai fait, c'est que je crypte en md5 l'objet avant de le serializer. Concrètement :



$_SESSION['usernow'] = @crypt_md5(serialize($usernow),"");



Et la je m'adresse aux experts parmi vous : est-ce un peu trop "paranoiaque" de ma part, ou ai je une bonne

sécurité de ma session avec ça ?



merci,

<--St@iLeR-->

5 réponses

Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
ça ne sert strictement à rien de procéder comme ça. tu n'as qu'à
stocker l'ip en session comme ça si un mec te vole l'id de session bah
n'ayant pas la même ip que celle stockée en session, se verra refuser
l'accès.

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Salut,



tu es largement trop parano, je vois pas pourquoi il ne faudrait pas stocker de password ou autres données sensibles en session.



Le contenu des sessions est stocké sur le serveur, il faut simplement
veiller à ne pas te faire voler ton id de session, c'est tout (et ça à
part avoir un site sécurisé au niveau des cookies, de l'upload (pour
que personne d'autre que ton site n'accède aux cookies) bah y'a pas
vraiment de solution)

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
Et si tu met le tout en md5(), tu m'expliques comment tu fais pour le déserializer ? ;)



Comme à dit Antho, le but est de ne pas se faire avoir l'id de session.

A moins bien sur, que tu ne serializes ton objet dans le cookie de ton visiteur, et que tu le déserializes ensuite.



Mais pour ca, ton visiteur se doit d'avoir les cookies d'activé ! Ce qui n'est pas toujours le cas.
Messages postés
507
Date d'inscription
jeudi 28 mars 2002
Statut
Membre
Dernière intervention
13 mai 2009
1
Je peux désérialiser parce que la fonction de cryptage md5 (et
décryptage) a été trouvé sur le web. Elle fonctione bien d'ailleurs,
pas de souci avec.



Par contre si j'ai bien compris ce cryptage ne sert à rien alors ? Le but est de protéger mon id de session.

On m'a dit sur un autre forum de passer par une base de données ou je le stockerai avec l'IP et un temps de session en cours..

Qu'en pensez-vous ? Ca m'embête de faire encore un accès à la base dans mes pages.

<--St@iLeR-->
Messages postés
507
Date d'inscription
jeudi 28 mars 2002
Statut
Membre
Dernière intervention
13 mai 2009
1
C'est donc ce que je vais faire, merci beaucoup

<--St@iLeR-->