PHPfrance

la communauté d'entraide francophone dédiée au PHP

sécurité des cookies

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : sécurité des cookies

par patami » 27 janv. 2006, 19:35

Pour faire un système de connexion automatique tu crées un cookie avec un md5 composé du login et d'une phrase que toi seul connait. Tu stockes cet identifiant dans le cookie et dans une table des connexions ouvertes. Tu ne crées cet identifiant qu'à la connexion (login et mot de passe correct) et en supposant que la personne ait coché la case "se souvenir de moi"
Je pense que quel que soit le contenu du cookie, tant qu'il est décryptable par le site, si ce cookie est volé le voleur n'aura pas besoin de tenter de le décrypter, il lui suffira de l'utiliser pour se connecter.
Comme le dit Cyrano je ne peux de fait pas me fier sur les membres de mon site, et me dois donc d'obliger une authentification pour accéder à l'espace d'administration :)

par xou » 27 janv. 2006, 15:11

Pas la peine d'enlever la connect auto pour les admins SUR LE SITE, fais juste en sorte que la connection auto ne marche pas pour accéder à la partie admin et que seules les sessions gèrent leur accès.

par nicolas » 27 janv. 2006, 12:07

Pour faire un système de connexion automatique tu crées un cookie avec un md5 composé du login et d'une phrase que toi seul connait. Tu stockes cet identifiant dans le cookie et dans une table des connexions ouvertes. Tu ne crées cet identifiant qu'à la connexion (login et mot de passe correct) et en supposant que la personne ait coché la case "se souvenir de moi"

par patami » 25 janv. 2006, 00:14

okay merci à tous les deux

Dans ce cas, je vais supprimer le système de connexion automatique pour les personnes ayant des accès aux fonctions d'administration, ainsi une vérification d'identité pourra être effectuée à chaque visite.

bonne soirée

patami

par Cyrano » 24 janv. 2006, 22:50

Tu peux difficilement sécuriser quoique ce soit dans la mesure où tu stockes des informations sur la machine de l'internaute: tu n'as absolument aucun contrôle sur les gens qui ont accès à cette machine : tu n'as donc aucun moyen de savoir si la personne qui se connecterait automatiquement est bien celle qui s'est inscrite ou un futé qui utilise sa machine.

par patami » 24 janv. 2006, 22:41

Merci pour ton aide :)

Le problème de tes paramètres est qu'ils obligent à accepter les cookies .. ce qui restreint l'accessibilité (note que j'ai envisagé cette restriction par sécurité, j'y réfléchis ..)

Mais, comment puis-je créer une connexion automatique au site sans utiliser les cookies (on est connecté automatiquement en arrivant sur le site, après vérification des infos (pseudo et pass) contenues dans le cookie) ?
Ou plutôt, comment puis-je sécuriser ce système de connexion automatique ?

merci d'avance

patami

par nicolas » 24 janv. 2006, 22:29

Pour compléter, j'ajouterais qu'il est fortement d'avoir les paramétrages suivants au minimum:
session.use_cookie = 1
session.use_only_cookie = 1
session.trans_sid = 0

par nicolas » 24 janv. 2006, 22:27

On ne stocke le mot de passe, ni dans la session ni dans un cookie même crypté.
Après pour les vols de sessions, ce n'est possible de manière simple que si le voleur a accès à la machine modulo les failles de sécurité de la machine; en admettant que la personne ait une session active bien entendu.
Conseille à tes utilisateurs de se déconnecter proprement plutôt que de fermer le navigateur.
Et pour le vol des sessions à toi de voir quel est le danger que cela implique. Pour toutes les opérations sensibles (changement de mot de passe, changement d'email,...) tu redemandes le mot de passe courant. Puisque le voleur n'a pas accès au mot de passe courant (il n'est pas dans le cookie) il ne peut agir et faire des dégats que sur la session courante.

sécurité des cookies

par patami » 24 janv. 2006, 21:54

salut

après pas mal de recherches sur le sujet, je n'ai toujours pas trouvé de solution satisfaisante pour protéger mon site utilisant les sessions et cookies.

A partir du moment où un hacker peut s'emparer des cookies d'un utilisateur (pas si difficile que ça d'après ce que j'ai compris), il peut trouver l'id de la session de cet utilisateur et peut alors utiliser ses différentes var de sessions (pour cela vu le temps de vie limité d'une session le risque peut à la limite être encourru ; surtout si l'on paramètre correctement son serveur)
Mais par contre, et là réside le danger, il peut également avoir accès au mot de passe de l'utilisateur stocké dans un cookie (crypté certes, mais toujours utilisable pour se connecter au site ..).

Que faire dans ce cas, si je tiens à offrir à l'utilisateur un système de connexion automatique (conservation du pseudo et pass dans cookies) ?

Merci d'avance

patami

ps :

un article intéressant sur les sessions : http://phpsec.org/projects/guide/fr/4.html

un autre sur les cookies : http://www.phpsecure.info/v2/article/Se ... Secure.php