Discussion :

[ApocKalipsS]

Bonjour,
J'ai actuellement un site avec un système de connexion avec sessions.
Cependant, je me déconnecte rapidement après environ 20 minutes d'inactivité...
J'aimerais donc utiliser les cookies (je ne m'y connais pas du tout) pour garder
des sessions actives. Cependant, j'ai peur qu'il y ai de gros problèmes de sécurité, car j'ai vu qu'on peut facilement modifier ses cookies avec des plugins firefox par exemple.
J'ai fait quelques rapides recherches sur google, et tous les scripts que j'ai vu contiennent de simples cookies avec le nom d'utilisateur et le mot de passe de l'utilisateur.
N'y aurait-il pas de problèmes si l'utilisateur modifie certaines de ces valeurs ?

[lucas74]

On peut pas te dire si ton application est vulnérable ou non sans connaitre son fonctionnement. Une utilisation dangereuse des cookies pourrait être de stocker uniquement l'identifiant du visiteur dans un cookie et de se baser dessus pour en déduire l'identité, puisqu'effectivement les cookies sont stockés / envoyés par le client.

Stocker le couple user/pwd est plus sécurisé et encore, de toute façon c'est lourdingue.

Les sessions permettent de contourner ce problème. On ne stocke chez le client qu'un identifiant unique (souvent dans le cookie PHPSESSID avec PHP). Seul l'identifiant est donc modifiable par le client. Mais l'identifiant tel quel n'a aucune valeur.
PHP va recevoir cet identifiant et donner accès aux variables de session y étant liées. Ces données étant stockées sur le serveur elles ne sont pas falsifiables.
Le seul risque, c'est l'usurpation de session. Mais c'est assez faible puisque :

1. Les identifiants sont aléatoires, "uniques"
2. Les sessions sont volatiles

Donc il faut voler le PHPSESSID de quelqu'un (à temps) pour usurper son identité.

[gene69]

et sachant qu'il est possible de surcharger la couche par defaut des sessions on peut ajouter une vérification de l'ip dans la session ... il n'est pas impossible de spoofer une IP mais ça rajoute un peu de complexité (d'autant plus qu'on se fait roder tout de suite... )

le probleme de la sécurité c'est de se prémunir contre quoi. Si tu veux défier la CIA ... je suis pas là pour t'aider et ensuite il te faudrait un niveau de sécurité tel que... Si tu veux faire du commerce, un peu de https poudre aux yeux pour rassurer tes clients et après un bon avocat suffit amplement.

[lucas74]

et sachant qu'il est possible de surcharger la couche par defaut des sessions on peut ajouter une vérification de l'ip dans la session ... il n'est pas impossible de spoofer une IP mais ça rajoute un peu de complexité (d'autant plus qu'on se fait roder tout de suite... )

en priant que le FAI du client ne lui change pas son IP à chaque page...
Enfin de façon générale l'ip n'est pas fiable, en plus ça risque de compliquer la navigation pour certains utilisateurs donc mieux vaut oublier cette technique.

[gene69]

je sais bien...

[pokap]

Il y a d'autre méthode, je préfère garder un identifiant + un code d'accès, pour mes sites, lorsqu'un utilisateur veut un cookie, je lui créer un code d'accès haché que j'inscris dans la bdd, et j'enregistre le slug de l'utilisateur avec le code d'accès haché dans le cookie. Je fais juste une comparaison du code d'accès et du slug du membre pour lui autorisé l'accès.

Ça évite les mots de passe (qu'on pourrait décrypter avec un brut force).