[Sécurité] Question de culture sur Session [Résolu]

metalpetsFR · 16/05/2006, 09h22

Salut, je ne connais que très peu le php, je fais plutot des jsp.
Mais ma question est d'ordre générale.

J'ai remarquer, que sur certain site lorsque l'on se connect par login/pass, la page renvoyé par le serveur ne contient n'y une url "enrichie" (avec la session id), n'y un champs Hidden contenant la session, et pas de cookie créé, de plus les liens présent dans la page ne sont pas "enrichies".

Parcontre, lorsque l'on se connect au serveur par l'intermédiaire non pas d'un navigateur mais d'un programme (tout bete) se contentant de s'identifier et d'afficher le code html reçu, dans ce cas on obtient des liens enrichie ou alors des champs hidden contenant la PHPSESSID.

Donc voila, en gros, à prioris le navigateur cacheré automatiquement, les champs hidden et les url contenant le php session id.

Quand pensez vous ?

Fladnag · 16/05/2006, 09h35

Est-tu sur qu'il n'y a pas de cookie créé ?

En principe l'ID de session est stocké dans un cookie, et le cookie est automatiquement renvoyé de maniere transparente par le navigateur dans un header de la requete HTTP a chaque chargement de page dont l'url est associée au cookie.

Maintenant, si tu est sur de toi... tu as aussi la possibilité que ce site en question se base sur l'IP de l'internaute pour retrouver sa session... mais ce n'est pas un comportement sécurisé (proxys, aoliens, etc...)

A mon avis, je pense plutot que tu n'a pas su *voir* le cookie qui a été créé... car ce que tu décrit est plus proche du fonctionnement des sessions en php par defaut, a savoir
: Si l'utilisateur accepte les cookie, on utilise un cookie, sinon on transforme les liens pour ajouter le PHPSESSID

metalpetsFR · 16/05/2006, 09h42

A oui ton dernier paragraphe ma convaincu, mon navigateur accepte les cookies, et donc on utilise le cookie.
Par contre le prog, ne les accepte et reçoit une url "enrichie"
merci bcp..

16/05/2006, 09h22	#1
metalpetsFR Membre du Club Inscription : août 2004 Messages : 171 Détails du profil Informations forums : Inscription : août 2004 Messages : 171 Points : 68 Points : 68	[Sécurité] Question de culture sur Session Salut, je ne connais que très peu le php, je fais plutot des jsp. Mais ma question est d'ordre générale. J'ai remarquer, que sur certain site lorsque l'on se connect par login/pass, la page renvoyé par le serveur ne contient n'y une url "enrichie" (avec la session id), n'y un champs Hidden contenant la session, et pas de cookie créé, de plus les liens présent dans la page ne sont pas "enrichies". Parcontre, lorsque l'on se connect au serveur par l'intermédiaire non pas d'un navigateur mais d'un programme (tout bete) se contentant de s'identifier et d'afficher le code html reçu, dans ce cas on obtient des liens enrichie ou alors des champs hidden contenant la PHPSESSID. Donc voila, en gros, à prioris le navigateur cacheré automatiquement, les champs hidden et les url contenant le php session id. Quand pensez vous ?
	00

16/05/2006, 09h35	#2
Fladnag Membre Expert Inscription : janvier 2004 Messages : 1 238 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Finance Informations forums : Inscription : janvier 2004 Messages : 1 238 Points : 1 421 Points : 1 421	Est-tu sur qu'il n'y a pas de cookie créé ? En principe l'ID de session est stocké dans un cookie, et le cookie est automatiquement renvoyé de maniere transparente par le navigateur dans un header de la requete HTTP a chaque chargement de page dont l'url est associée au cookie. Maintenant, si tu est sur de toi... tu as aussi la possibilité que ce site en question se base sur l'IP de l'internaute pour retrouver sa session... mais ce n'est pas un comportement sécurisé (proxys, aoliens, etc...) A mon avis, je pense plutot que tu n'a pas su voir le cookie qui a été créé... car ce que tu décrit est plus proche du fonctionnement des sessions en php par defaut, a savoir : Si l'utilisateur accepte les cookie, on utilise un cookie, sinon on transforme les liens pour ajouter le PHPSESSID __________________ PHP : Regle n°1 : mysql_query(...), mysql_connect(...) et mysq_select_db(...) doivent EN DEBUG etre suivies de or die(mysql_error()); (mais jamais en production) Regle n°2 : Mieux encore : mysql_query($requete) or die("$requete<br/>".mysql_error()); Regle n°3 : echo '<pre>';var_dump($var);echo '</pre>'; affiche le contenu et le type d'une variable. Publiez vos textes de fantasy et de science-fiction sur http://www.cercledefaeries.com/concours/
	00

16/05/2006, 09h42	#3
metalpetsFR Membre du Club Inscription : août 2004 Messages : 171 Détails du profil Informations forums : Inscription : août 2004 Messages : 171 Points : 68 Points : 68	A oui ton dernier paragraphe ma convaincu, mon navigateur accepte les cookies, et donc on utilise le cookie. Par contre le prog, ne les accepte et reçoit une url "enrichie" merci bcp..
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email