Sécurité des cookies de sessions

Voilà le topo. Le client se connecte au serveur. S'il n'envoit pas de cookie de session, le serveur répond par un
    Set-Cookie: PHPSESSID=blabla...; path=/
bon. Une fois le cookie acquis, le client va alors envoyer à chaque fois qu'il demande une page son cookie de session via un
    Cookie: PHPSESSID=blabla...

Le problème, le voici. Supposons que j'ai mon site à l'adresse A.domain.com et considérons un autre site B.domain.com. Si un client va sur mon site A.domain.com et ouvre une session, le browser va stocker le cookie comme appartenant au
domain A.domain.com. No problem. Mais. Si j'envoie le cookie comme ceci :
    Set-Cookie: PHPSESSID=abc; expires=Mon, 02-Aug-10 14:02:31 GMT; path=/; domain=domain.com
le cookie PHPSESSID est stocké dans le browser comme appartenant au domaine .domain.com.

S'il n'y a pas de cookie PHPSESSID défini pour B.domain.com, le browser récupère le cookie de mon site, et se connecte avec LE MEME identifiant de session au site B.domain.com ...

Celà veut dire que le client qui est passé par le site A s'autentifiera avec le même numéro de session à chaque fois (expires fait que ce cookie n'est pas détruit), numéro que je connais ...

Ma question donc... êtes vous au courant de ce problème ? Quelles stratégies pour y remédier ?

Il est possible que ce post soit hors-sujet... comme il traite de sécurité peut-être d'un peu trop près... il est possible que de nombreux sites soient vulnérables, ma motivation n'est pas de propager une vulnérabilité mais d'essayer de trouver une solution ...

il fallait bien sûr lire
  domain=.domain.com

Hello,

Je ne connaissais pas ce problème, mais en lisant ton poste, je pense que ce n'est pas trop difficile de parer le problème.

Si tu as ton premier site qui s'appelle a.domaine.com,  $_SERVER['REQUEST_URI'] te donnera 'a' puisque a.domaine.com est la redirection de domaine.com/a, donc il te suffit d'ajouter cette info dans ton cookie (de manière cryptée ou non) et de faire un strcmp entre le $_SERVER['REQUEST_URI'] du cookie et celui du site!

Maintenant je n'exclue pas qu'il existe une solution plus simple liée directement aux cookies, mais pour ça, rdv sur php.net

Enjoy, ++

Ce n'est pas un problème, c'est la manière que fonctionne les cookies ... quel est le problème réel? remédier à quoi ?
Si tu veux, jpense que tu peux mapper ton cookie sur www.domain.com ou direct sur domain.com (Sans le .)


Cherchez, Essayez et Testez avant de Poser une question !
[ Lien ]

l'id de session contenu dans le cookie est un secret partagé entre le client et le serveur. Si quelqu'un d'autre connait cet id, il peut se faire passer pour le client.
Un exemple : tu vas sur perso.domain.com, tu choppes un PHPSESSID=abc sur .domain.com
Ensuite (un autre jour ...) tu vas sur mail.domain.com où tu t'authentifies. Le webmaster de perso.domain.com peut alors lire tes mails en utilisant comme cookie de session PHPSESSID=abc. Le serveur voit "abc", donc il identifie la même personne.
Le "mappage" est très strict... justement pour éviter le vol de cookies

Salut,

comme l'a dit Grenard ce n'est pas un problème... En gros tu as plusieurs site sur un même domaine (tu gères donc ça via des sous domaines) et t'as un problème de ce type ? bah dans "domain" pour l'enregistrement du cookie tu mets "sousdomaine.domaine.com"

---

• Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

le problème n'est pas si simple. Le serveur ne reçoit pas le domaine du cookie. Il voit un cookie du client, il pense que c'est lui-même (le serveur) qui l'a créé.
un session_open ne suffit pas, il faut regénérer l'id de session.

http://fr.php.net/manual/fr/function.setcookie.php

et ensuite modifie pour chacun de tes sous domaines la valeur "session.cookie_domain"
dans le php.ini (ou à l'aide d'un htaccess si ini_set() n'est pas dispo)

---

• Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

que proposerais-tu a un hébergeur mutualisé ? Si un mec sur A.domain.com décide de s'en prendre à B.domain.com, que peut faire B pour le prémunir ?

ce que je viens de dire au dessus, sur le site B tu modifies le session.cookie_domain en l'adaptant au site B (tu inclues le sous domaine) et pareil pour le site A.

---

• Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique