[Sécurité] Partage de sessions entre plusieurs domaines et sécurité

[hansaplast]

Bonjour,

j'ai la demande suivante de la part d'un client :

pouvoir patager les sessions entre (ex):

• toto.fr
• toto.com

alors, dans l'absolut c'est faisable, mias, j'ai peur des risques de vol de session.
A noter : le site stocke les sessions en bdd.

voila comment (sommairement) je pense faire (on est sur toto.com):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="toto.fr" onclick="insererDonnéesSession(this)">aller sur toto.fr</a>

et, coté js :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
function insererDonnéesSession(a) {
    a.href += "?session=<?=md5(session_id())?>"
}

apres, coté php, il suffit de retrouver l'enregistrement correpondant au md5 (ou a tout autre algo plausible de pseudo cryptage) et de faire un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session_id($sessionIdDecode)

D'apres vous, cela peut il poser des pb de vulnerabilitée.

les idées partisantes du "non" :

• le site n'est pas en https, donc c'est aussi facile de voler une session en ecoutant les com.

les idées partisannes du "oui"

• on perd la couche de verification basée sur les cookies : il suffit de faire X tentatives pour voler une session

une solution : utiliser un compteur, au dela d'une tentative, on banni l'ip, de toute tentative de recuperation de session.
faire un check de l'ip de la session stockée et de l'ip de la personne demandant la session : si pas meme zone geographique, on refuse.

qu'en pensez vous?

cela represente-t-il un vrai trou de securitée?

[hansaplast]

une atre solution :
poser une iframe, ou un XHR qui se declenche, qui retourne un sessIdTemp et qui pose un timestamp coté serveur.

si on recoit le sessIdTemp X secondes maxi par rapport au timestamp en session, on autorise.

là ca peut etre plus dure a choper, mais, ca complexifie un peu trop la gestion d'un truc tout bete... et rajoute la possibilitée de souffrir de nombreux bugs...