[sf 1.4.x] Sessions "communicantes" sous symfony [Résolu]

etoileweb · 15/06/2011, 11h01

L'avez-vous remarqué ? Si vous ouvrez simultanément deux différents projets symfony sur votre poste et que vous vous authentifiez dans l'un, vous êtes aussi automatiquement authentifié dans l'autre. Je crois que c'est une source potentielle de problèmes de sécurité. Je sais que ça ne vient pas tout droit de symfony mais de PHP lui-même. J'avais déjà remarqué cette "faille" en développant en PHP procédural. Ce que je déplore, c'est que les développeur de symfony n'ait rien trouvé pour l'étanchéité de nos sessions. Bon, je voulais juste partager, au cas où quelqu'un trouverait une parade contre cette manière de franchir les barrières.

Michel Rotta · 15/06/2011, 22h55

Ceci ne peut ce produire que si deux conditions sont réunies.

Il faut que les sites aient laissé le nom par défaut du cookie de session au lieu de le renommer, tel qu'indiquer dans les préconisations avant mise en ligne.
Il faut que le serveur soit identique entre les applications

A noter que si les serveurs sont différents, on va perdre la connexion des sites ouverts au profit du dernier authentifié.

Conclusion, il faut toujours changer le nom du cookie de session !

15/06/2011, 11h01	#1
etoileweb Membre régulier Inscription : mars 2007 Messages : 225 Détails du profil Informations forums : Inscription : mars 2007 Messages : 225 Points : 86 Points : 86	Sessions "communicantes" sous symfony L'avez-vous remarqué ? Si vous ouvrez simultanément deux différents projets symfony sur votre poste et que vous vous authentifiez dans l'un, vous êtes aussi automatiquement authentifié dans l'autre. Je crois que c'est une source potentielle de problèmes de sécurité. Je sais que ça ne vient pas tout droit de symfony mais de PHP lui-même. J'avais déjà remarqué cette "faille" en développant en PHP procédural. Ce que je déplore, c'est que les développeur de symfony n'ait rien trouvé pour l'étanchéité de nos sessions. Bon, je voulais juste partager, au cas où quelqu'un trouverait une parade contre cette manière de franchir les barrières.
	00

15/06/2011, 22h55	#2
Michel Rotta Modérateur Michel Rotta Responsable d'exploitation informatique Inscription : septembre 2005 Messages : 4 913 Détails du profil Informations personnelles : Nom : Michel Rotta Âge : 49 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations professionnelles : Activité : Responsable d'exploitation informatique Secteur : Distribution Informations forums : Inscription : septembre 2005 Messages : 4 913 Points : 7 505 Points : 7 505	Ceci ne peut ce produire que si deux conditions sont réunies. Il faut que les sites aient laissé le nom par défaut du cookie de session au lieu de le renommer, tel qu'indiquer dans les préconisations avant mise en ligne. Il faut que le serveur soit identique entre les applications A noter que si les serveurs sont différents, on va perdre la connexion des sites ouverts au profit du dernier authentifié. Conclusion, il faut toujours changer le nom du cookie de session ! __________________ Si tu donnes un poisson à un homme, il mangera un jour. Si tu lui apprends à pêcher, il mangera toujours (Lao Tseu). Pensez à valoriser les réponses pertinantes, cliquez sur le bouton vert +1 pour indiquer votre accord avec la solution proposée. Pensez à utiliser la balise [code] pour afficher du code, elle est cachée sous le bouton [#] dans l'éditeur. Une discussion est terminée ? Alors le bouton est votre ami !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email