Problème de session...

[Résolu]
Signaler
Messages postés
125
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
22 janvier 2009
-
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
-
Bonjour,

Question s'adressant aux pros des session...

Sur un site en cours de développement, j'ai une partie "espace personnel" qui fonctionne à l'aide de session...

les variables de session sont initialisés par l'authentification, et se promène de page en page.


Mon soucis, c'est que lors d'un test, j'ai accéder à un espace personnel sans m'authentifier sur un autre PC du même réseau que le mien, alors je j'avais laissé une session ouverte sur mon PC.


Je n'ai pas réussi à recréer cette erreur, mais d'un point de vue sécurité ca m'inquiète un peu

Si quelqu'un a une explication, je suis preneur !

PS : la maquette de mon site est hébergée sur un serveur OVH.

5 réponses

Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
41
Salut,

euh...



pas possible.... ou théoriquement très très très peu probable...



l'id de session est envoyé par cooki, alors à moins que vous ne partagiez vos cookis, ça ne passe pas...



dans ce cooki, on met :



md5(microtime()) donc, il y a très très peu de chances pour que la chaine ai été la même aux deux isntants...



Bon, sinon, tu as peut-être modifié l'id de session (par exemple,
personellement, sur un site, j'ai mis l'ip et le nom du navigateur en
id de session car comme mon adresse est une ip, alors les gens ne
gardaient pas les cookis, par sécurité...)


In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)
Messages postés
125
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
22 janvier 2009

Merci pour ta réponse, je suis un peu plus rassuré... je n'ai pourtant pas révé, c'est bizarre

Par acquis de conscience je voulais savoir combien de temps "dure" une session ? si on ne passe pas par un session_destroy();

Et par deuxième acquis de consience, voici un petit bout de mon code :

// Fichier session.php
session_start();
// Ce qui se passe lorsqu'on valide le formulaire de connexion
if(isset($_POST["authentification"])){
// REQUETE login/mdp
[...]
// Si la requete est bonne
if($obj=mysql_fetch_object($res);
$_SESSION["user_id"]=$obj->id;
}
}
$user_id=$_SESSION["user_id"];

voila, ce fichier est inclus en tête de toutes les pages protègées, et si j'ai une valeur dans $user_id le contenu des pages est généré sinon, on est réorienté vers la page d'identification.
Cela te semble t-il correct ?

Merci encore
Gyome.
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
41
Salut,

remplace :



$user_id=$_SESSION["user_id"];



par



$user_id=isset($_SESSION['user_id'])?$_SESSION['user_id']:'';


et ça sera corect !



Bon, à part ça, c'est corect, et sinon, une session a une durée de vie
variable : vas voir dans php.ini, tu verras, t'as une variable à régler
pour ça... généralement, je crois que c'est 20 minutes..

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)
Messages postés
125
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
22 janvier 2009

Ok,

merci pour tout, ca à l'air de fonctionner sans pb.

Je reste un peu sur ma fin quand l'énigme de la session qui à changé de poste, mais mon réseau est tellement bizarre que ca ne m'inquiète pas plus que ca...

A+
Gyome.
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
41
Salut,



Bon, fais réponse accèptée stp

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)