Sécurité de $_SESSION
Résolu
cs_caviar
Messages postés
329
Date d'inscription
samedi 4 janvier 2003
Statut
Membre
Dernière intervention
29 mars 2015
-
23 févr. 2007 à 12:47
cs_caviar Messages postés 329 Date d'inscription samedi 4 janvier 2003 Statut Membre Dernière intervention 29 mars 2015 - 1 mars 2007 à 16:34
cs_caviar Messages postés 329 Date d'inscription samedi 4 janvier 2003 Statut Membre Dernière intervention 29 mars 2015 - 1 mars 2007 à 16:34
A voir également:
- Sécurité de $_SESSION
- $_session php - Conseils pratiques -PHP
- Calcul clé sécurité sociale - Forum Visual Basic
- $_session - Forum PHP
- _session - Forum PHP
- Sécurité php ✓ - Forum PHP
6 réponses
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
23 févr. 2007 à 15:11
23 févr. 2007 à 15:11
Pour moi impossible (enfin, faut jms dire ca, mais très dur): les fichiers étants sur le serveur et les bidouilles de session se faisant aussi sur le serveur... Bon, je dis pas, si tu as un script vraiment mal foutu c'est peut être possible... (mais de toute façon, le risque 0 n'existe pas).
Bref, les sessions sont une bonne méthode! :)
@++
R@f
La boîte à bouts de codes
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Bref, les sessions sont une bonne méthode! :)
@++
R@f
La boîte à bouts de codes
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
23 févr. 2007 à 12:57
23 févr. 2007 à 12:57
Salut!
Les fichiers sessions sont sur le serveur, y'a pas trop de pb de ce côté là. Un éventuel pb peut venir du fait que quelqu'un usurpe la session de qlqn d'autre. Si ton serveur n'autorise pas de reprendre une session via un identifiant de session passé dans l'url, c'est une sécurité en plus ; après, il faudrait que la personne fauche le cookie (qui contient l'id de session) et le mette sur sa machine...
Pour éviter ca, tu peux garder des infos sur le client: ip, navigateur, ..... : si ca change en cours de session, tu peux redemander le pass: attention cependant, je crois que certains proxy peuvent passer par différentes ips...
@++
R@f
La boîte à bouts de codes
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Les fichiers sessions sont sur le serveur, y'a pas trop de pb de ce côté là. Un éventuel pb peut venir du fait que quelqu'un usurpe la session de qlqn d'autre. Si ton serveur n'autorise pas de reprendre une session via un identifiant de session passé dans l'url, c'est une sécurité en plus ; après, il faudrait que la personne fauche le cookie (qui contient l'id de session) et le mette sur sa machine...
Pour éviter ca, tu peux garder des infos sur le client: ip, navigateur, ..... : si ca change en cours de session, tu peux redemander le pass: attention cependant, je crois que certains proxy peuvent passer par différentes ips...
@++
R@f
La boîte à bouts de codes
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
cs_caviar
Messages postés
329
Date d'inscription
samedi 4 janvier 2003
Statut
Membre
Dernière intervention
29 mars 2015
2
23 févr. 2007 à 14:49
23 févr. 2007 à 14:49
Salut merci pour ta réponse ...
je vais surement rajouter une sécurité au niveau de l'IP/navigateur mais le problème qui me pose souci serai plutot qu'un utilisateur qui s'est loggué avec son compte normal ... il a son ID_USER qui est enregistré dans sa session, tranquillou et d'un coup il décide de remplacer la valeur de sa variable session ID_USER par une autre..si il y arrive les infos qui vont s'afficher seront celles de l'autre client ... donc vala
je me demandais si avec des headers envoyés via telnet ou une autre méthode permettaient de passer d'autres valeurs aux variables de session où si c'est impossible sans pirater le serveur lui même...
je sais pas si je m'exprime clairement mais je préfère insister histoire d'être sur ;)
merci
@++
je vais surement rajouter une sécurité au niveau de l'IP/navigateur mais le problème qui me pose souci serai plutot qu'un utilisateur qui s'est loggué avec son compte normal ... il a son ID_USER qui est enregistré dans sa session, tranquillou et d'un coup il décide de remplacer la valeur de sa variable session ID_USER par une autre..si il y arrive les infos qui vont s'afficher seront celles de l'autre client ... donc vala
je me demandais si avec des headers envoyés via telnet ou une autre méthode permettaient de passer d'autres valeurs aux variables de session où si c'est impossible sans pirater le serveur lui même...
je sais pas si je m'exprime clairement mais je préfère insister histoire d'être sur ;)
merci
@++
cs_caviar
Messages postés
329
Date d'inscription
samedi 4 janvier 2003
Statut
Membre
Dernière intervention
29 mars 2015
2
23 févr. 2007 à 15:15
23 févr. 2007 à 15:15
cool :)
c'est bien ce qui me semblais quand j'avais étudié ça ... mais bon ...vu que le site va bientôt partir en ligne je préférais avoir confirmation ...toutes façons je suis en train de rajouter des sécurités sur l'IP et d'autres paramètres ... je vais p'tet aussi ajouter un cookie et la reconaissance vocale et ADN ... lol
avec ça je serai blindé ;)
++ merci
c'est bien ce qui me semblais quand j'avais étudié ça ... mais bon ...vu que le site va bientôt partir en ligne je préférais avoir confirmation ...toutes façons je suis en train de rajouter des sécurités sur l'IP et d'autres paramètres ... je vais p'tet aussi ajouter un cookie et la reconaissance vocale et ADN ... lol
avec ça je serai blindé ;)
++ merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
FhX
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
3
24 févr. 2007 à 17:03
24 févr. 2007 à 17:03
"il a son ID_USER qui est enregistré dans sa session, tranquillou et
d'un coup il décide de remplacer la valeur de sa variable session
ID_USER par une autre..si il y arrive les infos qui vont s'afficher
seront celles de l'autre client ... donc vala"
Ca, c'est parce que tu as mal codé ton site.
C'est IMPOSSIBLE tant que tu ne changes pas EXPLICITEMENT la valeur. Il n'y a que le codeur qui peut permettre une telle chose.
Généralement, les identifiants qui vont en session ne sont écrites dans les sessions qu'une seule fois. Après, ce n'est que de la lecture.
Si ton membre veut changer d'identifiant (genre login... pas numéro d'ID !!! Il ne faut surtout pas le changer l'ID hein...), il suffit de recharger via une simple requète tes variables de sessions.
C'est bien TOI qui décide quoi faire.... le membre/visiteur n'a aucun controle sur ton script. Donc il ne peut y avoir changement d'identifiant "comme ca".
Voila.
d'un coup il décide de remplacer la valeur de sa variable session
ID_USER par une autre..si il y arrive les infos qui vont s'afficher
seront celles de l'autre client ... donc vala"
Ca, c'est parce que tu as mal codé ton site.
C'est IMPOSSIBLE tant que tu ne changes pas EXPLICITEMENT la valeur. Il n'y a que le codeur qui peut permettre une telle chose.
Généralement, les identifiants qui vont en session ne sont écrites dans les sessions qu'une seule fois. Après, ce n'est que de la lecture.
Si ton membre veut changer d'identifiant (genre login... pas numéro d'ID !!! Il ne faut surtout pas le changer l'ID hein...), il suffit de recharger via une simple requète tes variables de sessions.
C'est bien TOI qui décide quoi faire.... le membre/visiteur n'a aucun controle sur ton script. Donc il ne peut y avoir changement d'identifiant "comme ca".
Voila.
cs_caviar
Messages postés
329
Date d'inscription
samedi 4 janvier 2003
Statut
Membre
Dernière intervention
29 mars 2015
2
1 mars 2007 à 16:34
1 mars 2007 à 16:34
Bien sur ...Et c'est conçu comme ça ...
nan mais je pensais plutôt à quelqu'un de mal intentionné ... genre un type un peu hacker sur les bords avec intention de récupérer d'autres infos sur d'autres clients dans la bdd ...
nan mais je pensais plutôt à quelqu'un de mal intentionné ... genre un type un peu hacker sur les bords avec intention de récupérer d'autres infos sur d'autres clients dans la bdd ...
