[Sécurité] La sécurité et les sessions [Fait] [Résolu]

[BkM-) · 12/08/2007, 13h22

Bonjour à vous !

Je suis en plein dans la réalisation d'un site web auquel je suis tout particuliérement attaché et j'ai donc soigneusement optimisé tout ce qui été possible et veillé à sécuriser au maximum les données entrantes.

Seulement, une question me trotte dans la tête depuis quelque temps maintenant.
Dans mon code, il m'arrive d'utiliser quelques variables sessions pour faire circuler des données sur plusieurs pages mais je n'ai jamais sécurisé ces données en me disant qu'elles n'étaient modifiables qu'à partir d'un script inscrit sur le serveur.

J'ai donc directement utilisé le contenu de ces variables sessions sans prendre la peine de mettre ne serait-ce qu'un htmlentities de précaution.

Pensez-vous que cela soit une erreur ? Est-il possible à une personne malveillante de modifier mes variables sessions ? Et si oui comment ?

Merci d'avance de vos réponses

Yoteco · 12/08/2007, 13h37

Le problèmes avec les sessions c'est plutôt que quelqu'un s'empare de la SESSID ce qui lui permet d'utiliser la session de quelqu'un à de mauvaises fin... Pour celà il existe plusieurs solutions:

Faire un session_regenerate_id() au début de chaque page afin que la SESSID soit régulièrement remise à jour.
Sécuriser les sessions à l'aide d'une base de données ==> tuto ici

[BkM-) · 12/08/2007, 13h50

Ok très bien

Oprichnik · 12/08/2007, 22h34

Certains hebergeurs disposent d'un répertoire sessions dans le même dossier que "www" (qui contient le site web)

=> impossible de lire le contenu..

Sinon tu peut mettre un .htaccess dans le répertoire de sessions pour empêcher que les visiteurs ne sachent lire les données..

12/08/2007, 13h22	#1
[BkM-) Invité de passage Inscription : août 2005 Messages : 13 Détails du profil Informations forums : Inscription : août 2005 Messages : 13 Points : 4 Points : 4	[Sécurité] La sécurité et les sessions Bonjour à vous ! Je suis en plein dans la réalisation d'un site web auquel je suis tout particuliérement attaché et j'ai donc soigneusement optimisé tout ce qui été possible et veillé à sécuriser au maximum les données entrantes. Seulement, une question me trotte dans la tête depuis quelque temps maintenant. Dans mon code, il m'arrive d'utiliser quelques variables sessions pour faire circuler des données sur plusieurs pages mais je n'ai jamais sécurisé ces données en me disant qu'elles n'étaient modifiables qu'à partir d'un script inscrit sur le serveur. J'ai donc directement utilisé le contenu de ces variables sessions sans prendre la peine de mettre ne serait-ce qu'un htmlentities de précaution. Pensez-vous que cela soit une erreur ? Est-il possible à une personne malveillante de modifier mes variables sessions ? Et si oui comment ? Merci d'avance de vos réponses
	00

12/08/2007, 13h37	#2
Yoteco Rédacteur Alain Sahli Ingénieur développement logiciels Inscription : décembre 2004 Messages : 1 086 Détails du profil Informations personnelles : Nom : Alain Sahli Âge : 25 Informations professionnelles : Activité : Ingénieur développement logiciels Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : décembre 2004 Messages : 1 086 Points : 1 479 Points : 1 479	Le problèmes avec les sessions c'est plutôt que quelqu'un s'empare de la SESSID ce qui lui permet d'utiliser la session de quelqu'un à de mauvaises fin... Pour celà il existe plusieurs solutions: Faire un session_regenerate_id() au début de chaque page afin que la SESSID soit régulièrement remise à jour. Sécuriser les sessions à l'aide d'une base de données ==> tuto ici __________________ Blog - Mon espace developpez - Vous voulez un site internet ? eZ Publish Certified developer
	00

12/08/2007, 13h50	#3
[BkM-) Invité de passage Inscription : août 2005 Messages : 13 Détails du profil Informations forums : Inscription : août 2005 Messages : 13 Points : 4 Points : 4	Ok très bien
	00

12/08/2007, 22h34	#4
Oprichnik Membre régulier Mallory Étudiant Inscription : septembre 2006 Messages : 213 Détails du profil Informations personnelles : Nom : Mallory Âge : 22 Localisation : Belgique Informations professionnelles : Activité : Étudiant Secteur : Enseignement Informations forums : Inscription : septembre 2006 Messages : 213 Points : 75 Points : 75	Certains hebergeurs disposent d'un répertoire sessions dans le même dossier que "www" (qui contient le site web) => impossible de lire le contenu.. Sinon tu peut mettre un .htaccess dans le répertoire de sessions pour empêcher que les visiteurs ne sachent lire les données..
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email