Discussion :

[cyscek]

Bonjour à tous !

Je suis en train de développer un site en php, et j'ai une question sur la sécurité (histoire que je me retrouve pas avec des failles partout).

Le site doit pouvoir accueillir deux types de personne : les utilisateurs lambdas, et les admins. Bien évidemment, ils n'ont pas la même interface ni les mêmes droits.

Du coup, dans mon fichier checklogin.php, je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
while ($row = pg_fetch_array($result)) {
	 if (check_password($pwd, $row[0]))
		{		
			$_SESSION['myusername']=$login;	
			$_SESSION['rights']=$row[1];
		}
	}
 
	if($_SESSION['rights']==0)
	{
		header("location:../indexadmin.php");
	}
	else if($_SESSION['rights']==1)	
	{	
		header("location:../indexuser.php");
	}

Je récupère dans ma base postgresql le champ "rights", si il vaut 0, c'est un admin, s'il vaut 1, c'est un user.

C'est ensuite que ça se complique. Sur ma page indexadmin.php je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
session_start();
if(!isset($_SESSION['myusername'])){
header("location:login.php");
}
if($_SESSION['rights'] !=0){
header("location:error.php");
}
?>

Comme j'ai rempli ma variable de session rights au moment du check, en extrayant la valeur de ma base de donnée, l'utilisateur doit être rejeté s'il n'a pas un rights=0. Mais est-il possible pour un attaquant de contourner ça, et de changer la variable de session ? Je précise que je ne touche pas à cette variable là à d'autres endroits, seulement dans le checklogin, et donc à cet endroit là pour vérifier la valeur dedans.

[alain31tl]

Salut

Déjà, utiliser les sessions plutôt que des variables passées en GET est plus sécurisant, c'est un fait.
Ensuite, si tes variables de sessions sont banales telles que " 0, 1, 2, etc...", ce n'est pas trop séduisant.

Tu pourrais, par exemple compliquer un peu plus les choses.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
if($_SESSION['rights']==0)
	{
	$_SESSION['verif_0']='ASvrTfdERsZ_4';	
              header("location:../indexadmin.php");
	}
	else if($_SESSION['rights']==1)	
	{	
              $_SESSION['verif_1']='gTYhKiTt_6';		
              header("location:../indexuser.php");
	}

Et ensuite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if($_SESSION['verif_0'] !='ASvrTfdERsZ_4'){
header("location:error.php");
}

[cyscek]

L'idée c'est de mettre une valeur "password", qu'un attaquant ne pourra pas deviner, même par brute force, c'est ça ? Il n'y a pas moyen qu'un utilisateur non autorisé connaisse cette valeur de session, si ? En tout cas j'apprécie, je pense faire comme ça.

[alain31tl]

Il n'y a pas moyen qu'un utilisateur non autorisé connaisse cette valeur de session, si ?

En fait, celui qui parvient à "intercepter" intentionnellement un ID de session peut prendre connaîssance des différentes variables de session qui lui sont associées.

=> 1 ID de session = Nombre X de variables de sessions.

A défaut, si l'id de session est introuvable ou indétectable, ses différentes variables de session le composant le sont également... si tant est qu'elles ne soient pas trop faciles à extrapoler.

C'est juste pour cette raison que j'attirais ton attention sur le fait que la banalisation de certaines variables comme 0,1,2 ne renforcait pas la sécurité.
Bref, je trouvais celà un peu dommage.

A part celà, ton script ( dans la forme) est cohérent.