Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1484 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Question sécurité session générale

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question sécurité session générale

n°1264856
wewen1
Sex, drugs and Rock'N Roll
Posté le 12-12-2005 à 19:34:41  profilanswer
 

C encore moi mais cette fois-ci c pas une question code mais plutôt en général:
J'utilise l'envoi de session_id() dans l'url par

Code :
  1. $url_ok="default.php?".session_name()."=".session_id();


 
Lorsque l'utilisateur se déconnecte, j'utilise session_destroy()
 
Mais lorsque je copie l'url avant de déconnecter, que je me déconnecte puis que je colle l'ancienne url, par ex.

Code :
  1. devis.php?PHPSESSID=a1b018b2afe979686abbd3f231c4bf41

, ben la page s'affiche correctement.
Cela signifie que si j'envois ma copie d'url à un ami, il peut se connecter sur mon compte sans passer par l'identification.
 
Ca veux donc dire que mon idée de passer l'id en url pour permettre de contourner la protection de confidentialité de IE, n'est pas super sécuritaire.
 
Bref, j'ai vu plein de post et de sujets là-dessus mais au final personne ne donne la meilleure méthode pour contourner le blocage de connection par IE (lorsque la confidentialité est moyenne ou haute) sans passer par les cookies tout en étant pas mal niveau securité.
 
Merci de vos conseils car je crois qu'ils en aideront plus d'un... :hello:  :jap:

mood
Publicité
Posté le 12-12-2005 à 19:34:41  profilanswer
 

n°1264934
FlorentG
Unité de Masse
Posté le 12-12-2005 à 22:05:56  profilanswer
 

Sans utiliser de cookies, point de salut. Et encore, c'est pas la meilleure solution. Faut du SSL par dessus pour être à peu près valable

n°1265008
Berceker U​nited
PSN : berceker_united
Posté le 12-12-2005 à 22:26:50  profilanswer
 

wewen1 a écrit :

C encore moi mais cette fois-ci c pas une question code mais plutôt en général:
J'utilise l'envoi de session_id() dans l'url par

Code :
  1. $url_ok="default.php?".session_name()."=".session_id();


 
Lorsque l'utilisateur se déconnecte, j'utilise session_destroy()
 
Mais lorsque je copie l'url avant de déconnecter, que je me déconnecte puis que je colle l'ancienne url, par ex.

Code :
  1. devis.php?PHPSESSID=a1b018b2afe979686abbd3f231c4bf41

, ben la page s'affiche correctement.
Cela signifie que si j'envois ma copie d'url à un ami, il peut se connecter sur mon compte sans passer par l'identification.
 
Ca veux donc dire que mon idée de passer l'id en url pour permettre de contourner la protection de confidentialité de IE, n'est pas super sécuritaire.
 
Bref, j'ai vu plein de post et de sujets là-dessus mais au final personne ne donne la meilleure méthode pour contourner le blocage de connection par IE (lorsque la confidentialité est moyenne ou haute) sans passer par les cookies tout en étant pas mal niveau securité.
 
Merci de vos conseils car je crois qu'ils en aideront plus d'un... :hello:  :jap:


Tu es face un probleme que beaucoup de personne se posent. Il faut absolument utiliser un cookie et pour que ton amie puisse avoir la meme page il faut que tu lui donne ton cookie. Il faut rajouter d'autre élément qui font que tu réduis le risques au maximum en sachant bien que tu n'aura jamais la protection ultime. tu peux jouer sur l'ip (s'il sont tous les deux derriere le meme routeur c'est mort). Navigater (s'ils utilisent les navigateurs c'est mort). L'os (il y a de grande chance qu'ils utilisent windows, c'est mort). Configuration ecran (il y a des chances mais si c'est le même c'est mort). Tous réuni reduit le risque.

n°1265016
FlorentG
Unité de Masse
Posté le 12-12-2005 à 22:30:44  profilanswer
 

Berceker United a écrit :

tu peux jouer sur l'ip


JAMAIS L4ADRESSE IP MALHEUREUX §§§§ :D :D

n°1265029
Berceker U​nited
PSN : berceker_united
Posté le 12-12-2005 à 22:34:49  profilanswer
 

FlorentG a écrit :

JAMAIS L4ADRESSE IP MALHEUREUX §§§§ :D :D


Je sais et j'ai expliqué pourquoi  ! :o

n°1265031
FlorentG
Unité de Masse
Posté le 12-12-2005 à 22:35:23  profilanswer
 

Y'a aussi les proxy AOL... Et quand un de tes premiers clients est justement sur AOL, t'as interêt à gaffer :D

n°1265143
leflos5
On est ou on est pas :)
Posté le 13-12-2005 à 01:30:45  profilanswer
 

FlorentG a écrit :

JAMAIS L4ADRESSE IP MALHEUREUX §§§§ :D :D


Tu peux très bien garder l'IP du client et si pas pareil qu'à l'authentification on se reloggue :na:  
C'est pas bloquant, juste éventuellement chiant pour celui qui a une ligne pourrie et pas d'IP fixe :)
Prendre en compte les X_FORWARDED_FOR pour les proxies respectueux.
 
Et surtout détruire physiquement les sessions qui n'ont plus lieu d'être, ou contourner le problème en logant la session et son timestamp de dernière activité et passé un certains temps, poubelle :)
 
Sinon un truc con, plutot que le session destroy qui destroye rarement comme il faudrait, tu vides la session de l'info identifiante ;)
 
Pas de solution miracle comme dit, juste qu'en siblant une information presque sûre et en la gérant directement t'es presque sûr :P

n°1265163
FlorentG
Unité de Masse
Posté le 13-12-2005 à 07:52:01  profilanswer
 

leflos5 a écrit :

Tu peux très bien garder l'IP du client et si pas pareil qu'à l'authentification on se reloggue :na:  
C'est pas bloquant, juste éventuellement chiant pour celui qui a une ligne pourrie et pas d'IP fixe :)


Et surtout chiant pour ceux sous AOL dont l'IP change à chaque page [:dawa] Et inutile pour ceux qui sont derrière NAT. Du coup, super facile de se faire des crasses entre collègues ;)

n°1265347
wewen1
Sex, drugs and Rock'N Roll
Posté le 13-12-2005 à 11:42:29  profilanswer
 

Bon donc en gros :
1/ Tout système informatique est fragile
2/ Toujours coder en passant à la solution compatible avec la majorité des systèmes tout en gardant en tête le fait que c'est vulnérable
 
Merki pour vos réponses en tout cas

n°1265359
flo850
moi je
Posté le 13-12-2005 à 11:58:18  profilanswer
 

idée , peut ete bete:
 
tu stockes dans une BDD qui est connecté deconnecté avec les session_id
 
en plus du session_destroy , tu efface la ligne dans la BDD  
 
ca devrait eviter la réutilisation de session_id ,non?
 
de plus une table contenant les personnes logguées/deloggués rend des services interessant au niveau du tracage de la charge du serveur


Message édité par flo850 le 13-12-2005 à 11:59:14

---------------

mood
Publicité
Posté le 13-12-2005 à 11:58:18  profilanswer
 

n°1265617
leflos5
On est ou on est pas :)
Posté le 13-12-2005 à 15:48:17  profilanswer
 

FlorentG a écrit :

Et surtout chiant pour ceux sous AOL dont l'IP change à chaque page [:dawa] Et inutile pour ceux qui sont derrière NAT. Du coup, super facile de se faire des crasses entre collègues ;)


L'IP AOL change à chaque requête http :??: :ouch:
Je savais pas parce que j'y ai jamais eu à faire, c'est hallucinant comme principe, c'est quand qu'ils respectent les standarts eux :??:  :heink:  

n°1265641
Xav_
The only one...
Posté le 13-12-2005 à 16:14:06  profilanswer
 

leflos5 a écrit :

L'IP AOL change à chaque requête http :??: :ouch:
Je savais pas parce que j'y ai jamais eu à faire, c'est hallucinant comme principe, c'est quand qu'ils respectent les standarts eux :??:  :heink:


en meme temps qu'IE  :na:  
 
http://www.xav-world.com/Smiley/src1/paci.gif


---------------
- Xav - ...There are no crimes when there are no laws... -- Xav's World
n°1267890
omega2
Posté le 15-12-2005 à 18:50:54  profilanswer
 

L'an prochain alors? Attention, ca pourait vite arriver alors. :lol:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Question sécurité session générale

 

Sujets relatifs
Question sur XML avec C++Pb niveau de sécurité IE - blocage de script
Question sur commondialog [ résolu ]Débutant, question sur syntaxe requete SQL
ptite question en sql/phpUne simple question (js)
petyte question C++ (istringstream, copie, toussa) VS2003 / pubsetbufquestion sur switch
QUESTION Accéder au Net depuis un intranet depuis VPN ????Mode texte et question sur les socket.
Plus de sujets relatifs à : Question sécurité session générale


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR