Discussion :

[lokardz]

j'ai visionner une video qui ma fais peur!!!
https://www.youtube.com/watch?v=DcmUo5FMLyI
il entre dans une page réserver au user , avec les hachage des cookies

ASP.NET Session hijacking with Forms authentication

aurai-il une solution pour contre cette manip
merci d'anvance

[meziantou]

Avant de t'inquiéter, as-tu au moins réfléchi au scénario d'attaque ?

Le but de l'attaque consiste à se faire passer pour quelqu'un d'autre en lui volant son cookie d'authentification.
Pour voler ce cookie il faut qu'il ait
- soit accès à ton PC (soit physiquement, soit un virus)
- soit qu'il utilise un man in the middle (qui peut se détecter car le certificat du serveur ne sera pas le bon à condition bien évidemment d'utiliser HTTPS ce qui est la base quand on authentifie un utilisateur)
- soit qu'il y ait des failles dans ton site (XSS par exemple)
- soit qu'il y ait des failles au niveau du navigateur

Bref cette attaque devrait être surtout théorique.

[lokardz]

Avant de t'inquiéter, as-tu au moins réfléchi au scénario d'attaque ?

Le but de l'attaque consiste à se faire passer pour quelqu'un d'autre en lui volant son cookie d'authentification.
Pour voler ce cookie il faut qu'il ait
- soit accès à ton PC (soit physiquement, soit un virus)
- soit qu'il utilise un man in the middle (qui peut se détecter car le certificat du serveur ne sera pas le bon à condition bien évidemment d'utiliser HTTPS ce qui est la base quand on authentifie un utilisateur)
- soit qu'il y ait des failles dans ton site (XSS par exemple)
- soit qu'il y ait des failles au niveau du navigateur

Bref cette attaque devrait être surtout théorique.

oui,ta raison j'ai pas pensé a ça