Discussion :

[psychoBob]

Bonjour,

Je me prend la tête a essayer de réaliser un système de session et il s'avère que tout ce que je fais à ce sujet est bidon pour une raison qui m'apparait subitement éblouissante : Je ne sais pas ce qu'est un vol de session.


Alors s'il vous plait, comment fait le hacker et surtout qu'est ce qu'il peut faire ?
Est-il obligé de commettre son forfait pendant que le membre est connecté, ou son vol peut encore lui profiter ensuite ?

Bref qu'est ce que vous pouvez me dire en gros, en détail et en approfondi sur ce sujet, s'il vous plait ?

[Swoög]

Pour conserver une session d'une page à l'autre, il faut transmettre le numéro de session (SID)

si un pirate arrive à récupérer le session_id, il peut prendre possession de la session, c'est à dire qu'il peut faire croire au serveur que c'est lui qui est le propriétaire de la session, de ce fait, le serveur réagira comme si c'était le client légitime qui se connectait au site.

[psychoBob]

Bon ça j'avais compris, merci Swoög.

Maintenant le numéro de session ne sert à rien en soit, si ce n'est qu'il permet de s'accaparer les variables qui circulent dans la session correspondant à cet id, c'est ça ?

J'ai bon sur ça déjà ?

Si oui, une fois le membre déconnecté, le pirate n'a plus rien sous la dent, si ce n'est les éventuelles variables qu'il a récolté (mot de passe si on est c.., pseudo, ou identifiant etc...) , c'est ça ?

[Eusebius]

mot de passe si on est c...

Bah, s'il est capable de sniffer un id de session, il peut aussi bien sniffer directement le login et le mot de passe (en cas de connexion non chiffrée).

[psychoBob]

Bah, s'il est capable de sniffer un id de session, il peut aussi bien sniffer directement le login et le mot de passe (en cas de connexion non chiffrée).

Ah voilà qui s'approche d'une de mes interrogation:

Contrairement à une session qui perdure dans le temps, la transmission du login et du pass se fait une seule fois et très vite. Donc comment fais le pirate, il guète ? Il aspire tout ce qui transite sur le site indistinctement ? Ou il cible un membre, ou une connexion précise ? Il sniffe quoi d'ailleur ? Ce qui circule entre le site et un pc ? Donc il récupère les informations d'une session que pour un membre c'est ça ?

[Kioob]

Dans le cas d'un sniffer chez un hébergeur par exemple, le pirate "pourrait" voir tout le trafic arrivant sur la machine. Dans ce cas des outils particuliers permettent d'isoler les flux HTTP, puis de filtrer sur ce qui nous interesse ici, c'est à dire un couple login/pass envoyé une seule fois en POST, ou bien un identifiant de session en cookie. Mais selon le contexte, rien ne dit qu'il aura accès longtemps au trafic circulant.


Et comme tu le faisais remarqué plus haut, un login / pass ne va théoriquement circuler qu'une seule fois. Et est donc plus difficile à chopper.

Par contre l'ID de session va circuler à chaque hit HTTP sur le site (donc y compris pour les images, la CSS, les scripts JS, etc). Il est généalement valable "au moins" 24 minutes, et sa suppression étant alléatoire, ça peut même durer bien plus longtemps : même après le "départ" de l'internaute s'il n'y a pas (ou s'il ne l'utilise pas) pas de fonction "se déconnecter" qui détruirait la session. Et si le visiteur reste 2 heure à consulter le site, cela laisse un large créneau au pirate.
Le pire c'est que ceci est proportionnel à la durée de validité de la session : dans le cadre d'une "application intranet" il n'est pas rare de voir des sessions de 2 heures par exemple (pas forcément justifié d'ailleurs).


D'où l'intérêt d'un mécanisme pour se protéger de ça : essayer de limiter la durée de validité d'un même ID de session. Ainsi si on vérifie via PHP la durée de la session, on s'assure que cela ne s'éternisera pas au delà du temps souhaité (les fameuses 24 minutes de départ).
De plus, si à chaque nouvelle page, on change l'ID de session (ou un équivalent), le délai de validité de cet identifiant peut être réduit à quelques minutes, voir quelques secondes : cela améliore les choses, mais ne résoud pas non plus le problème. Il y aura toujours un petit créneau pendant lequel le vol sera possible.


Reste le risque dans le cas où l'internaute part sans détruire la session : celle ci est donc valide durant 24 minutes par exemple. Mais l'avantage c'est que l'ID de session n'apparait plus dans le trafic. Donc à moins d'avoir choppé le bon paquet au bon moment, le risque n'est pas énorme.


Bien sûr tout ceci est valable dans le cas d'un identifiant de session en cookie. S'il est dans l'URL, c'est bien pire, car on va aussi le retrouver dans le REFERER de tous les liens externes...

[Fabouney]

Tu peux rajouter des éléments dans la session qui permetterons de vérifier si l'utilisateur utilisant celle-ci est bien la bonne personne.
du genre tu enregistre l'adresse Ip et la version du navigateur du visiteur, et tu fait une fonction qui permet de tester si l'ip du visiteur et la version de son navigateur est egale aux données enregistrer dans la session, si non, dans ce cas c'est pas l'utilisateur attendu.

[psychoBob]

Tu peux rajouter des éléments dans la session qui permetterons de vérifier si l'utilisateur utilisant celle-ci est bien la bonne personne.
du genre tu enregistre l'adresse Ip et la version du navigateur du visiteur, et tu fait une fonction qui permet de tester si l'ip du visiteur et la version de son navigateur est egale aux données enregistrer dans la session, si non, dans ce cas c'est pas l'utilisateur attendu.

Oui mais ça j'ai ouvert des posts sur le sujet et la plupart on dit que c'était bidon, car vu que les IP change pour beaucoup de monde en cours de connexion (utilisateurs d'aol, proxy etc...) et vu que les informations du navigateurs ne sont pas fiables pour je ne sais plus quelle raison et bien en bout de course c'est hyper contraignant et ça gène tellement d'utilisateurque ça devient nul.

De toute façon c'est pas un post sur comment se protéger du vol de session, j'ai résolu le problème : c'est HTTPS le reste c'est du flan.
Mais je veux quand même comprendre en détail, si possible, ce qu'est un vol de session.

[Fabouney]

Bah c'est tout simple, à partir du moment ou des informations sont véhiculées sur le reseaux, du genre une session id qui dialogue entre serveur et client, est passible d'être intercepté par un individu, en effet le SSL est une solutions à beaucoup de problèmes de ce genre lol.