Discussion :

[etoileweb]

L'avez-vous remarqué ? Si vous ouvrez simultanément deux différents projets symfony sur votre poste et que vous vous authentifiez dans l'un, vous êtes aussi automatiquement authentifié dans l'autre. Je crois que c'est une source potentielle de problèmes de sécurité. Je sais que ça ne vient pas tout droit de symfony mais de PHP lui-même. J'avais déjà remarqué cette "faille" en développant en PHP procédural. Ce que je déplore, c'est que les développeur de symfony n'ait rien trouvé pour l'étanchéité de nos sessions. Bon, je voulais juste partager, au cas où quelqu'un trouverait une parade contre cette manière de franchir les barrières.

[Michel Rotta]

Ceci ne peut ce produire que si deux conditions sont réunies.

• Il faut que les sites aient laissé le nom par défaut du cookie de session au lieu de le renommer, tel qu'indiquer dans les préconisations avant mise en ligne.
• Il faut que le serveur soit identique entre les applications

A noter que si les serveurs sont différents, on va perdre la connexion des sites ouverts au profit du dernier authentifié.

Conclusion, il faut toujours changer le nom du cookie de session !