IE, appel JS et session
Posté : 21 janv. 2011, 22:10
Bonjour à tous,
J'ai un script, j'ai mis du temps à repérer le problème.
Soit une page x qui démarre une session et instancie une variable de session avec time() dedans. cette page est du code JavaScript.
Soit une page d'un site tiers qui appelle la page x sur son site avec <script src=".."></script>
Le code est correctement exécuté. Lorsque la personne appuie sur un des boutons, une image est créée pointant vers une page z sur le même domaine que la page x.
Sous Firefox, la page z a accès à la session et au time() enregistré. Pas sous IE, qui a un time() vide. C'est un problème de session.
Je n'ai pas de quoi lire les entêtes de l'échange IE<->Serveur et pas trop le temps pour le moment. C'est pourquoi je vous le demande, peut-être quelqu'un a déjà eu ce problème.
En sachant que l'attaque CRSF se base des fois sur des images pointant vers un domaine, l'image provoque bien l'envoie des cookies liés au domaine appelé. Donc l'image que j'ai créé devrait les envoyer aussi ... mais je ne sais pas si il y a eu enregistrement du cookie de session à l'appel de la page x. A priori, toute page appelée est potentiellement manipulatrice de cookies, mais bon ... Voilà. A bientôt.
J'ai un script, j'ai mis du temps à repérer le problème.
Soit une page x qui démarre une session et instancie une variable de session avec time() dedans. cette page est du code JavaScript.
Soit une page d'un site tiers qui appelle la page x sur son site avec <script src=".."></script>
Le code est correctement exécuté. Lorsque la personne appuie sur un des boutons, une image est créée pointant vers une page z sur le même domaine que la page x.
Sous Firefox, la page z a accès à la session et au time() enregistré. Pas sous IE, qui a un time() vide. C'est un problème de session.
Je n'ai pas de quoi lire les entêtes de l'échange IE<->Serveur et pas trop le temps pour le moment. C'est pourquoi je vous le demande, peut-être quelqu'un a déjà eu ce problème.
En sachant que l'attaque CRSF se base des fois sur des images pointant vers un domaine, l'image provoque bien l'envoie des cookies liés au domaine appelé. Donc l'image que j'ai créé devrait les envoyer aussi ... mais je ne sais pas si il y a eu enregistrement du cookie de session à l'appel de la page x. A priori, toute page appelée est potentiellement manipulatrice de cookies, mais bon ... Voilà. A bientôt.