La sécurité des sessions

ryoshin_1_1 · Mai 27, 2008, 11:09

Bonjour,
Ayant déjà lu quelques posts sur ce sujet (sur cluclu), je me suis rendu compte que les sessions n’étaient pas sures a 100%. J’ai compris qu’il n’était pas compliqué d’usurper des session_id.
Actuellement je me fai un site perso, et jutilise les sessions du style si l utilisateur a réussi a s’identifier il ouvre une session et session[login] prend comme valeur son login, de meme pour son id, ensuite cette utilisateur logué arrive sur sa page d’administration (ou pas si ln est pas admin), je trouve que par exemple session[login] n’est pas super sécurisé non plus sachant que ca sera son nom d’utilisateur et ainsi de suite …
Existe il qqch pour remedier a ca ?
comme dirait un autre post google est ton ami, ben bof

PyrO_70 · Mai 27, 2008, 9:27

Bah à toi de trouvé des “algo” qui prévienent de cette usurpation. Tu sais que c’est pas fiable alors fait en sort que le systeme de niveau superieur ( = ton systeme de login ) le sois à partir de cette solution peu fiable
Par exemple des expirations de session, stocké les adresses ip etc etc…
Edité le 27/05/2008 à 21:27

GCyrillus · Mai 27, 2008, 9:40

Bonjour
la sécurité des sessions tient en partie de la façon dont tu t’en sert

Quelques précautions ou conseils basiques (parmis d’autres).

-Attention aux ‘injections SQL’ (de preference nettoyer et traiter et stoker dans la sessions les variables $_POST avant de les passer dans les requetes ) , ex: fr.wikipedia.org…
-crypter de preferences les infos qui seront stocker dans la session/cookie
ex de possibilité de cryptage outils-en-ligne.uzabnet.com…[/url] et un mot de son auteur [url=http://blog.uzabnet.com/creation_sites_internet/quel-hash-utiliser-md5]blog.uzabnet.com…

-ajouter un grain de sel ex: matthieu.developpez.com…

-verifiez l’autorisation d’accés a chaque nouvelles pages ouvertes

-bien detruire la session et son eventuel cookie a chaque deconnexion pour ne pas laisser les prochains utilisateurs du pc usurper votre identité ‘numériques’.

De nombreux tutos trainent ici ou la sur le net , et un script sécuriser a 100% n’existes pas , il n’existent que des failles possibles .
Autant faire en sorte d’evitée les plus maladroite et les plus connus.

JE ne sais pas si cette reponse te convient , car sans savoir comment tu t’y prend , difficile d’estimer la fiabilité de la methode que tu as retenue.

Sans-Nom · Mai 27, 2008, 10:10

Et surtout ne pas surestimer les sessions. Surtout en PHP.

ryoshin_1_1 · Mai 28, 2008, 11:07

Créer un id perso (en plus de celui automatique) n’est peut etre pas une mauvaise idée, en combinant adresse ip, pseudo … en utilisant des algo de cryptage différents et en assemblant tout ca a la suite…
Mine de rien les sessions sur un site ca devient bien plus pratique.

PS: merci pour les liens GCyrillus c’est ce que je cherchais
Edité le 28/05/2008 à 11:17

Sans-Nom · Mai 28, 2008, 11:31

Certes, c’est plus pratique. Mais il ne faut pas en abuser, déjà ça brise le tabbrowsing (essaye n’importe quel site de vente, et oublie l’expérience:))

ryoshin_1_1 · Mai 28, 2008, 11:36

Ben justement les sites de ventes qui necessite une bonne sécurité utilisent quoi à peut pres ?

Sans-Nom · Mai 28, 2008, 2:14

Je n’ai pas dis qu’ils n’en utilisaient pas, juste qu’ils en utilisaient en abus.