Peut-on faire confiance aux variables de sessions ?

andlio · 21/10/2011, 08h49

Bonjour à tous,

Je développe actuellement ma première application web et je me pose quelques questions concernant la sécurité de la session utilisateur.

J'y stocke par exemple l'identité de l'utilisateur connecté, le projet qu'il est en train de consulter...

Est-ce que dans mon controleur (j'utilise MVC) je peux faire totalement confiance à ces variables de sessions ?
Est-ce que l'utilisateur pirate peut par exemple avoir modifié l'id du projet en cours de consultation ou autre... ?

Si je ne me trompe pas la session est envoyée dans le requête HTTP ?

tho.feron · 21/10/2011, 13h16

Bonjour,

La session n'est pas envoyée dans la requête, ce sont les cookies qui sont renvoyés au serveur et ceux-ci contiennent l'ID de session, pas la session elle-même. (On peut aussi passer par une variable GET par exemple mais en général, on utilise des cookies)

En conclusion, l'utilisateur n'a pas accès à ces données de session. Il existe quand même un danger : un pirate peut renvoyer un cookie contenant l'ID d'une session d'un autre utilisateur. Il a alors droit, dans le cadre d'une identification, à la partie membre de cet utilisateur.

Il existe des techniques pour contrer le session hijhacking. Par exemple, en stockant l'IP de l'utilisateur et en comparant celle-ci avec l'IP de la requête, malheureusement, cette technique pose des problèmes quand l'utilisateur change d'IP légitimement (de plus, le pirate peut aussi se débrouiller pour spoofer son IP et envoyer des paquets avec l'adresse IP légitime).
On peut aussir changer l'ID de session à chaque requête et supprimer la session dès qu'un ID est renvoyé une deuxième fois par exemple mais ça devient compliqué.

En règle générale, pour un site normal, il n'y a pas besoin de mettre ce genre de sécurité donc pas de soucis à se faire pour la gestion des sessions.

Cordialement,
Thomas Feron de LF Création.

PS: il existe également les attaques de type session fixation qui sont dans le sens inverse, c'est le pirate qui va faire en sorte que l'utilisateur utilise une certaine session illégitime.

transgohan · 21/10/2011, 14h03

Dans tous les cas si tu souhaites une réelle sécurité il faudrait passer par une connexion https.

FlyersWeb · 07/11/2011, 13h08

Citation:

Dans tous les cas si tu souhaites une réelle sécurité il faudrait passer par une connexion https.

C'est une grossière erreur de penser que l'utilisation de HTTPS résout tous les problèmes liés à la sécurité. Tout d'abord parce que cela ne permet pas de se prémunir des attaques liées aux sessions mais aussi parce que l'utilisation de l'encryption sans comprendre les tenants et aboutissants entraîne souvent de nouvelles vulnérabilités. cf : mon post http://goo.gl/NrbYV.

La véritable difficulté concernant les vulnérabilités de session étant qu'elles sont complexes à parer puisqu'il existe de multiples vecteurs d'attaque. Il existe par contre un moyen de les limités grandement, c'est de vérifier qu'il n'y a pas de vulnérabilité de type XSS injection sur son site internet. cf : https://www.owasp.org/index.php/XSS

transgohan · 07/11/2011, 13h48

Je n'ai jamais dit que cela résolvait tout... S'il existait une sécurité ultime nous n'aurions pas matière à discuter.

21/10/2011, 08h49	#1
andlio Membre régulier Lionel ANDRE Inscription : avril 2005 Messages : 294 Détails du profil Informations personnelles : Nom : Lionel ANDRE Âge : 27 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations forums : Inscription : avril 2005 Messages : 294 Points : 77 Points : 77	Peut-on faire confiance aux variables de sessions ? Bonjour à tous, Je développe actuellement ma première application web et je me pose quelques questions concernant la sécurité de la session utilisateur. J'y stocke par exemple l'identité de l'utilisateur connecté, le projet qu'il est en train de consulter... Est-ce que dans mon controleur (j'utilise MVC) je peux faire totalement confiance à ces variables de sessions ? Est-ce que l'utilisateur pirate peut par exemple avoir modifié l'id du projet en cours de consultation ou autre... ? Si je ne me trompe pas la session est envoyée dans le requête HTTP ?
	00

21/10/2011, 13h16	#2
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, La session n'est pas envoyée dans la requête, ce sont les cookies qui sont renvoyés au serveur et ceux-ci contiennent l'ID de session, pas la session elle-même. (On peut aussi passer par une variable GET par exemple mais en général, on utilise des cookies) En conclusion, l'utilisateur n'a pas accès à ces données de session. Il existe quand même un danger : un pirate peut renvoyer un cookie contenant l'ID d'une session d'un autre utilisateur. Il a alors droit, dans le cadre d'une identification, à la partie membre de cet utilisateur. Il existe des techniques pour contrer le session hijhacking. Par exemple, en stockant l'IP de l'utilisateur et en comparant celle-ci avec l'IP de la requête, malheureusement, cette technique pose des problèmes quand l'utilisateur change d'IP légitimement (de plus, le pirate peut aussi se débrouiller pour spoofer son IP et envoyer des paquets avec l'adresse IP légitime). On peut aussir changer l'ID de session à chaque requête et supprimer la session dès qu'un ID est renvoyé une deuxième fois par exemple mais ça devient compliqué. En règle générale, pour un site normal, il n'y a pas besoin de mettre ce genre de sécurité donc pas de soucis à se faire pour la gestion des sessions. Cordialement, Thomas Feron de LF Création. PS: il existe également les attaques de type session fixation qui sont dans le sens inverse, c'est le pirate qui va faire en sorte que l'utilisateur utilise une certaine session illégitime. __________________ LF Création, votre site web tout-en-un.
	20

21/10/2011, 14h03	#3
transgohan Membre Expert Baptiste ROUSSEL Étudiant Inscription : janvier 2011 Messages : 810 Détails du profil Informations personnelles : Nom : Baptiste ROUSSEL Localisation : France, Territoire de Belfort (Franche Comté) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2011 Messages : 810 Points : 1 526 Points : 1 526	Dans tous les cas si tu souhaites une réelle sécurité il faudrait passer par une connexion https. __________________ Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.
	00

07/11/2011, 13h48	#5
transgohan Membre Expert Baptiste ROUSSEL Étudiant Inscription : janvier 2011 Messages : 810 Détails du profil Informations personnelles : Nom : Baptiste ROUSSEL Localisation : France, Territoire de Belfort (Franche Comté) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2011 Messages : 810 Points : 1 526 Points : 1 526	Je n'ai jamais dit que cela résolvait tout... S'il existait une sécurité ultime nous n'aurions pas matière à discuter. __________________ Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email