Discussion :

[andlio]

Bonjour à tous,

Je développe actuellement ma première application web et je me pose quelques questions concernant la sécurité de la session utilisateur.

J'y stocke par exemple l'identité de l'utilisateur connecté, le projet qu'il est en train de consulter...

Est-ce que dans mon controleur (j'utilise MVC) je peux faire totalement confiance à ces variables de sessions ?
Est-ce que l'utilisateur pirate peut par exemple avoir modifié l'id du projet en cours de consultation ou autre... ?

Si je ne me trompe pas la session est envoyée dans le requête HTTP ?

[tho.feron]

Bonjour,

La session n'est pas envoyée dans la requête, ce sont les cookies qui sont renvoyés au serveur et ceux-ci contiennent l'ID de session, pas la session elle-même. (On peut aussi passer par une variable GET par exemple mais en général, on utilise des cookies)

En conclusion, l'utilisateur n'a pas accès à ces données de session. Il existe quand même un danger : un pirate peut renvoyer un cookie contenant l'ID d'une session d'un autre utilisateur. Il a alors droit, dans le cadre d'une identification, à la partie membre de cet utilisateur.

Il existe des techniques pour contrer le session hijhacking. Par exemple, en stockant l'IP de l'utilisateur et en comparant celle-ci avec l'IP de la requête, malheureusement, cette technique pose des problèmes quand l'utilisateur change d'IP légitimement (de plus, le pirate peut aussi se débrouiller pour spoofer son IP et envoyer des paquets avec l'adresse IP légitime).
On peut aussir changer l'ID de session à chaque requête et supprimer la session dès qu'un ID est renvoyé une deuxième fois par exemple mais ça devient compliqué.

En règle générale, pour un site normal, il n'y a pas besoin de mettre ce genre de sécurité donc pas de soucis à se faire pour la gestion des sessions.

Cordialement,
Thomas Feron de LF Création.

PS: il existe également les attaques de type session fixation qui sont dans le sens inverse, c'est le pirate qui va faire en sorte que l'utilisateur utilise une certaine session illégitime.

[transgohan]

Dans tous les cas si tu souhaites une réelle sécurité il faudrait passer par une connexion https.

[FlyersWeb]

Dans tous les cas si tu souhaites une réelle sécurité il faudrait passer par une connexion https.

C'est une grossière erreur de penser que l'utilisation de HTTPS résout tous les problèmes liés à la sécurité. Tout d'abord parce que cela ne permet pas de se prémunir des attaques liées aux sessions mais aussi parce que l'utilisation de l'encryption sans comprendre les tenants et aboutissants entraîne souvent de nouvelles vulnérabilités.

La véritable difficulté concernant les vulnérabilités de session étant qu'elles sont complexes à parer puisqu'il existe de multiples vecteurs d'attaque. Il existe par contre un moyen de les limités grandement, c'est de vérifier qu'il n'y a pas de vulnérabilité de type XSS injection sur son site internet. cf : https://www.owasp.org/index.php/XSS

[transgohan]

Je n'ai jamais dit que cela résolvait tout... S'il existait une sécurité ultime nous n'aurions pas matière à discuter.