Accueil > Forum > > > > Sécurité de $_SESSION
 Sécurité de $_SESSION
vendredi 23 février 2007 à 12:47:42 |
Sécurité de $_SESSION
caviar
|
Salut... je voudrai savoir si il est facile de remplacer le contenu d'une variable de session. SI je stocke par exemple l'id du client en cours dans une variable de session est il possible de remplacer cet id client par un autre pour avoir accès à un autre compte utisateur ? est ce facile ? est ce assez securisé ? que puisje ajouter comme controle? merci!! @++ |
|
vendredi 23 février 2007 à 12:57:50 |
Re : Sécurité de $_SESSION
coockiesch
|
Salut! Les fichiers sessions sont sur le serveur, y'a pas trop de pb de ce côté là. Un éventuel pb peut venir du fait que quelqu'un usurpe la session de qlqn d'autre. Si ton serveur n'autorise pas de reprendre une session via un identifiant de session passé dans l'url, c'est une sécurité en plus ; après, il faudrait que la personne fauche le cookie (qui contient l'id de session) et le mette sur sa machine... Pour éviter ca, tu peux garder des infos sur le client: ip, navigateur, ..... : si ca change en cours de session, tu peux redemander le pass: attention cependant, je crois que certains proxy peuvent passer par différentes ips... @++ R@f La boîte à bouts de codes"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???" |
|
vendredi 23 février 2007 à 14:49:45 |
Re : Sécurité de $_SESSION
caviar
|
Salut merci pour ta réponse ...
je vais surement rajouter une sécurité au niveau de l'IP/navigateur mais le problème qui me pose souci serai plutot qu'un utilisateur qui s'est loggué avec son compte normal ... il a son ID_USER qui est enregistré dans sa session, tranquillou et d'un coup il décide de remplacer la valeur de sa variable session ID_USER par une autre..si il y arrive les infos qui vont s'afficher seront celles de l'autre client ... donc vala
je me demandais si avec des headers envoyés via telnet ou une autre méthode permettaient de passer d'autres valeurs aux variables de session où si c'est impossible sans pirater le serveur lui même...
je sais pas si je m'exprime clairement mais je préfère insister histoire d'être sur ;)
merci
@++
|
|
vendredi 23 février 2007 à 15:11:55 |
Re : Sécurité de $_SESSION
coockiesch
|
Réponse acceptée !
Pour moi impossible (enfin, faut jms dire ca, mais très dur): les fichiers étants sur le serveur et les bidouilles de session se faisant aussi sur le serveur... Bon, je dis pas, si tu as un script vraiment mal foutu c'est peut être possible... (mais de toute façon, le risque 0 n'existe pas). Bref, les sessions sont une bonne méthode! :) @++ R@f La boîte à bouts de codes"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
|
|
vendredi 23 février 2007 à 15:15:56 |
Re : Sécurité de $_SESSION
caviar
|
cool :)
c'est bien ce qui me semblais quand j'avais étudié ça ... mais bon ...vu que le site va bientôt partir en ligne je préférais avoir confirmation ...toutes façons je suis en train de rajouter des sécurités sur l'IP et d'autres paramètres ... je vais p'tet aussi ajouter un cookie et la reconaissance vocale et ADN ... lol
avec ça je serai blindé ;)
++ merci
|
|
samedi 24 février 2007 à 17:03:23 |
Re : Sécurité de $_SESSION
FhX
|
"il a son ID_USER qui est enregistré dans sa session, tranquillou et d'un coup il décide de remplacer la valeur de sa variable session ID_USER par une autre..si il y arrive les infos qui vont s'afficher seront celles de l'autre client ... donc vala"
Ca, c'est parce que tu as mal codé ton site.
C'est IMPOSSIBLE tant que tu ne changes pas EXPLICITEMENT la valeur. Il n'y a que le codeur qui peut permettre une telle chose.
Généralement, les identifiants qui vont en session ne sont écrites dans les sessions qu'une seule fois. Après, ce n'est que de la lecture.
Si ton membre veut changer d'identifiant (genre login... pas numéro d'ID !!! Il ne faut surtout pas le changer l'ID hein...), il suffit de recharger via une simple requète tes variables de sessions.
C'est bien TOI qui décide quoi faire.... le membre/visiteur n'a aucun controle sur ton script. Donc il ne peut y avoir changement d'identifiant "comme ca".
Voila.
|
|
jeudi 1 mars 2007 à 16:34:57 |
Re : Sécurité de $_SESSION
caviar
|
Bien sur ...Et c'est conçu comme ça ...
nan mais je pensais plutôt à quelqu'un de mal intentionné ... genre un type un peu hacker sur les bords avec intention de récupérer d'autres infos sur d'autres clients dans la bdd ...
|
|
Cette discussion est classée dans : variable, session, remplacer, sécurité, facile
 Répondre à ce message
 Sujets en rapport avec ce message
Sécurité et session [ par tweeder ]
Bonjour à tous,J'aimerais avoir votre avis sur un truc. Je fais la gestion d'un site et la partie administrateur utilise les variable de session. Est-
multi domaine mais un seul administrateur [ par mariobotta ]
bonjour,je dispose d'un hébergement multi domaine où j'ai 3 sites possédant chacun 3 noms de domaines différents.Je voudrais que mon administrateur pu
$_SESSION et déconnexion [ par lagombe ]
Salut à tous, voilà mon problème : j'utilise des variables de session sur une appli avec nom utilisateur et login... et en fait je n'arrive pas à "vi
Probleme variable de session [ par youyou_2004 ]
Bonjour a tous, sur mon site, il est possible de s'inscrire puis de se connecter. Lorsque la perssonne se connecte ca lui met bonjour et son pseudo ma
Variable session [ par Dipston ]
Salut j'ai besoin dun coup de main, J'ai un probleme avec des variables session.J'explique : lorsque qu'une page se relance ma variable session se vid
Petite question de session... [ par CyberMen30 ]
J'ai vu un exemple de variable de session.Dans cet exemple, la personne vérifie que l'utilisateur a le bon mot de passe et de loginet l'utilisateur a
session_register en PHP CLI [ par motherboy ]
Bonjour à tous,Je développe actuellement un Bot IRC, linké à un IRCd Unreal, et ayant des fonctions de Anope.Donc je cherche à savoir si je peux mémor
Variable de session qui ne s'affiche pas!! [ par rouliendelavegas ]
Bonjour,Je creer actuellement un site avec authentification à l'ouverture.si le login/mot de pass sont correct, je crée les variable de sessions suiva
variable session et $_POST [ par renauddero ]
Bonjours,J'ai toujours mon probleme par rapport au lien entre deux combo. Mais j'ai decide de changer de methode etant donnee que je n' ai pas reussie
Aide sur image anti-spam... [ par Tanaka56 ]
Bonjour. J'ai intégré sur une page l'image anti-spam du lien :http://www.phpcs.com/codes/IMAGE-ANTI-SPAM_38969.aspxCependant, je rencontre un problème
 Livres en rapport
|
Derniers Blogs
 ROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGEROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGE par Matthieu MEZIL
Si vous utilisez Roslyn et que vous vous voulez vous simplifier le code du code rewriter, je vous conseille d'installer mon NuGet package RoslynHelper ....(read more) ...
Cliquez pour lire la suite de l'article par Matthieu MEZIL POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|