Problèmes de sécurité Cookies

ApocKalipsS · 17/07/2011, 04h50

Bonjour,
J'ai actuellement un site avec un système de connexion avec sessions.
Cependant, je me déconnecte rapidement après environ 20 minutes d'inactivité...
J'aimerais donc utiliser les cookies (je ne m'y connais pas du tout) pour garder
des sessions actives. Cependant, j'ai peur qu'il y ai de gros problèmes de sécurité, car j'ai vu qu'on peut facilement modifier ses cookies avec des plugins firefox par exemple.
J'ai fait quelques rapides recherches sur google, et tous les scripts que j'ai vu contiennent de simples cookies avec le nom d'utilisateur et le mot de passe de l'utilisateur.
N'y aurait-il pas de problèmes si l'utilisateur modifie certaines de ces valeurs ?

lucas74 · 30/07/2011, 18h31

On peut pas te dire si ton application est vulnérable ou non sans connaitre son fonctionnement. Une utilisation dangereuse des cookies pourrait être de stocker uniquement l'identifiant du visiteur dans un cookie et de se baser dessus pour en déduire l'identité, puisqu'effectivement les cookies sont stockés / envoyés par le client.

Stocker le couple user/pwd est plus sécurisé et encore, de toute façon c'est lourdingue.

Les sessions permettent de contourner ce problème. On ne stocke chez le client qu'un identifiant unique (souvent dans le cookie PHPSESSID avec PHP). Seul l'identifiant est donc modifiable par le client. Mais l'identifiant tel quel n'a aucune valeur.
PHP va recevoir cet identifiant et donner accès aux variables de session y étant liées. Ces données étant stockées sur le serveur elles ne sont pas falsifiables.
Le seul risque, c'est l'usurpation de session. Mais c'est assez faible puisque :

Les identifiants sont aléatoires, "uniques"
Les sessions sont volatiles

Donc il faut voler le PHPSESSID de quelqu'un (à temps) pour usurper son identité.

gene69 · 30/07/2011, 18h56

et sachant qu'il est possible de surcharger la couche par defaut des sessions on peut ajouter une vérification de l'ip dans la session ... il n'est pas impossible de spoofer une IP mais ça rajoute un peu de complexité (d'autant plus qu'on se fait roder tout de suite... )

le probleme de la sécurité c'est de se prémunir contre quoi. Si tu veux défier la CIA ... je suis pas là pour t'aider et ensuite il te faudrait un niveau de sécurité tel que... Si tu veux faire du commerce, un peu de https poudre aux yeux pour rassurer tes clients et après un bon avocat suffit amplement.

lucas74 · 30/07/2011, 19h11

Citation:

Envoyé par gene69

et sachant qu'il est possible de surcharger la couche par defaut des sessions on peut ajouter une vérification de l'ip dans la session ... il n'est pas impossible de spoofer une IP mais ça rajoute un peu de complexité (d'autant plus qu'on se fait roder tout de suite... )

en priant que le FAI du client ne lui change pas son IP à chaque page...
Enfin de façon générale l'ip n'est pas fiable, en plus ça risque de compliquer la navigation pour certains utilisateurs donc mieux vaut oublier cette technique.

gene69 · 30/07/2011, 19h43

je sais bien...

pokap · 30/07/2011, 20h48

Il y a d'autre méthode, je préfère garder un identifiant + un code d'accès, pour mes sites, lorsqu'un utilisateur veut un cookie, je lui créer un code d'accès haché que j'inscris dans la bdd, et j'enregistre le slug de l'utilisateur avec le code d'accès haché dans le cookie. Je fais juste une comparaison du code d'accès et du slug du membre pour lui autorisé l'accès.

Ça évite les mots de passe (qu'on pourrait décrypter avec un brut force).

17/07/2011, 04h50	#1
ApocKalipsS Candidat au titre de Membre du Club Inscription : mai 2009 Messages : 146 Détails du profil Informations forums : Inscription : mai 2009 Messages : 146 Points : 13 Points : 13	Problèmes de sécurité Cookies Bonjour, J'ai actuellement un site avec un système de connexion avec sessions. Cependant, je me déconnecte rapidement après environ 20 minutes d'inactivité... J'aimerais donc utiliser les cookies (je ne m'y connais pas du tout) pour garder des sessions actives. Cependant, j'ai peur qu'il y ai de gros problèmes de sécurité, car j'ai vu qu'on peut facilement modifier ses cookies avec des plugins firefox par exemple. J'ai fait quelques rapides recherches sur google, et tous les scripts que j'ai vu contiennent de simples cookies avec le nom d'utilisateur et le mot de passe de l'utilisateur. N'y aurait-il pas de problèmes si l'utilisateur modifie certaines de ces valeurs ?
	00

30/07/2011, 18h31	#2
lucas74 Membre habitué Lucas GAUTHERON Lycéen Inscription : décembre 2008 Messages : 106 Détails du profil Informations personnelles : Nom : Lucas GAUTHERON Informations professionnelles : Activité : Lycéen Informations forums : Inscription : décembre 2008 Messages : 106 Points : 145 Points : 145	On peut pas te dire si ton application est vulnérable ou non sans connaitre son fonctionnement. Une utilisation dangereuse des cookies pourrait être de stocker uniquement l'identifiant du visiteur dans un cookie et de se baser dessus pour en déduire l'identité, puisqu'effectivement les cookies sont stockés / envoyés par le client. Stocker le couple user/pwd est plus sécurisé et encore, de toute façon c'est lourdingue. Les sessions permettent de contourner ce problème. On ne stocke chez le client qu'un identifiant unique (souvent dans le cookie PHPSESSID avec PHP). Seul l'identifiant est donc modifiable par le client. Mais l'identifiant tel quel n'a aucune valeur. PHP va recevoir cet identifiant et donner accès aux variables de session y étant liées. Ces données étant stockées sur le serveur elles ne sont pas falsifiables. Le seul risque, c'est l'usurpation de session. Mais c'est assez faible puisque : Les identifiants sont aléatoires, "uniques" Les sessions sont volatiles Donc il faut voler le PHPSESSID de quelqu'un (à temps) pour usurper son identité.
	00

30/07/2011, 18h56	#3
gene69 Membre Expert Inscription : janvier 2006 Messages : 951 Détails du profil Informations personnelles : Localisation : France Informations professionnelles : Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : janvier 2006 Messages : 951 Points : 1 063 Points : 1 063	et sachant qu'il est possible de surcharger la couche par defaut des sessions on peut ajouter une vérification de l'ip dans la session ... il n'est pas impossible de spoofer une IP mais ça rajoute un peu de complexité (d'autant plus qu'on se fait roder tout de suite... ) le probleme de la sécurité c'est de se prémunir contre quoi. Si tu veux défier la CIA ... je suis pas là pour t'aider et ensuite il te faudrait un niveau de sécurité tel que... Si tu veux faire du commerce, un peu de https poudre aux yeux pour rassurer tes clients et après un bon avocat suffit amplement. __________________ PHP fait nativement la validation d'adresse électronique Vous êtes perdu en PHP? rassurez-vous ici (en) Utilisez le bouton résolu!
	00

30/07/2011, 19h43	#5
gene69 Membre Expert Inscription : janvier 2006 Messages : 951 Détails du profil Informations personnelles : Localisation : France Informations professionnelles : Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : janvier 2006 Messages : 951 Points : 1 063 Points : 1 063	je sais bien... __________________ PHP fait nativement la validation d'adresse électronique Vous êtes perdu en PHP? rassurez-vous ici (en) Utilisez le bouton résolu!
	00

30/07/2011, 20h48	#6
pokap Futur Membre du Club Florent Denis Inscription : décembre 2009 Messages : 19 Détails du profil Informations personnelles : Nom : Florent Denis Informations forums : Inscription : décembre 2009 Messages : 19 Points : 18 Points : 18	Il y a d'autre méthode, je préfère garder un identifiant + un code d'accès, pour mes sites, lorsqu'un utilisateur veut un cookie, je lui créer un code d'accès haché que j'inscris dans la bdd, et j'enregistre le slug de l'utilisateur avec le code d'accès haché dans le cookie. Je fais juste une comparaison du code d'accès et du slug du membre pour lui autorisé l'accès. Ça évite les mots de passe (qu'on pourrait décrypter avec un brut force).
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email