[Sécurité] Eviter le vol de sessions

sylsau · 13/11/2006, 21h45

Bonjour,

Je suis en train de mettre en place un site dans lequel j'utilise le mécanisme des sessions pour stocker et passer des variables sur les différentes pages du site.

Pour sécuriser un petit peu plus les sessions, je fais une vérification sur l'IP (Au passage vaut il mieux faire la vérification sur l'IP ou sur le nom d'hôte correspondant à cette IP?) du visiteur tout au long des pages. En cas de différence, je déloggue immédiatement cette personne qui accède à la page.

J'ai lu qu'en utilisant cette vérification sur l'IP, on sécurisait plus les sessions et on atteignait un niveau de sécurité acceptable avec les sessions.

J'aurais donc aimé savoir si vous pensez que cela est suffisant ou s'il fallait rajouter une autre sécurité ?

Merci d'avance de votre aide.

Sylvain

efficks · 14/11/2006, 02h51

Une sécurité supplémentaire et très intéressante serait d'ajouter une vérification de l'adresse MAC du client (comme l'adresse IP). Comme on le sait, l'adresse MAC est unique pour chaque carte réseau dans le monde... ou presque

.

PHP ne permet pas de récupérer l'adresse MAC du client. Tu peux malgré tout trouver une classe en PHP qui permet de la récupérer en l'incluant dans ton projet. Voici l'adresse où la trouver : http://www.phpclasses.org/browse/package/1942.html

Donc avec ça tu devrait être pas mal sécurisé.

Bonne chance.

Mr N. · 14/11/2006, 10h07

Citation:

Envoyé par efficks

Une sécurité supplémentaire et très intéressante serait d'ajouter une vérification de l'adresse MAC du client (comme l'adresse IP). Comme on le sait, l'adresse MAC est unique pour chaque carte réseau dans le monde... ou presque

Comme on le sait aussi, une adresse mac n'est visible qu'au sein d'un réseau local. Dailleurs c'est dit dans le lien que tu donnes :

Citation:

This class is meant to retrieve the MAC address associated to a network card of a computer in the same local network.

Donc impossible de se baser dessus.

Mr N. · 14/11/2006, 10h13

Citation:

Envoyé par sylsau

J'aurais donc aimé savoir si vous pensez que cela est suffisant ou s'il fallait rajouter une autre sécurité ?

Ca ne sera pas suffisant car par exemple si le pirate et l'utilisateur sont derrière le meme routeur et partage donc la meme ip, tu es cuit.

La seul solution viable actuellement est d'utiliser ssl

efficks · 14/11/2006, 17h35

Damn it...
Il doit quand même y avoir un moyen de récupérer l'adresse MAC des paquets au niveau de la couche Liaison (Ethernet) qui représente l'adresse MAC du poste d'origine non?

Mr N. · 14/11/2006, 17h48

Ben non.
La couche liaison ne sert qu'au sein d'un réseau local.

13/11/2006, 21h45	#1
sylsau Membre du Club Inscription : octobre 2002 Messages : 153 Détails du profil Informations forums : Inscription : octobre 2002 Messages : 153 Points : 40 Points : 40	[Sécurité] Eviter le vol de sessions Bonjour, Je suis en train de mettre en place un site dans lequel j'utilise le mécanisme des sessions pour stocker et passer des variables sur les différentes pages du site. Pour sécuriser un petit peu plus les sessions, je fais une vérification sur l'IP (Au passage vaut il mieux faire la vérification sur l'IP ou sur le nom d'hôte correspondant à cette IP?) du visiteur tout au long des pages. En cas de différence, je déloggue immédiatement cette personne qui accède à la page. J'ai lu qu'en utilisant cette vérification sur l'IP, on sécurisait plus les sessions et on atteignait un niveau de sécurité acceptable avec les sessions. J'aurais donc aimé savoir si vous pensez que cela est suffisant ou s'il fallait rajouter une autre sécurité ? Merci d'avance de votre aide. Sylvain
	00

14/11/2006, 02h51	#2
efficks Membre chevronné Inscription : septembre 2005 Messages : 714 Détails du profil Informations forums : Inscription : septembre 2005 Messages : 714 Points : 689 Points : 689	Une sécurité supplémentaire et très intéressante serait d'ajouter une vérification de l'adresse MAC du client (comme l'adresse IP). Comme on le sait, l'adresse MAC est unique pour chaque carte réseau dans le monde... ou presque . PHP ne permet pas de récupérer l'adresse MAC du client. Tu peux malgré tout trouver une classe en PHP qui permet de la récupérer en l'incluant dans ton projet. Voici l'adresse où la trouver : http://www.phpclasses.org/browse/package/1942.html Donc avec ça tu devrait être pas mal sécurisé. Bonne chance. __________________ Avant de poster : FAQ, tutos, rechercher, google, ... Après : Merci
	00

14/11/2006, 17h35	#5
efficks Membre chevronné Inscription : septembre 2005 Messages : 714 Détails du profil Informations forums : Inscription : septembre 2005 Messages : 714 Points : 689 Points : 689	Damn it... Il doit quand même y avoir un moyen de récupérer l'adresse MAC des paquets au niveau de la couche Liaison (Ethernet) qui représente l'adresse MAC du poste d'origine non? __________________ Avant de poster : FAQ, tutos, rechercher, google, ... Après : Merci
	00

14/11/2006, 17h48	#6
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Ben non. La couche liaison ne sert qu'au sein d'un réseau local. __________________ Get your motor runnin' Head out on the highway...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email