Discussion :

[Geoffrey74]

Bonjour,

je me pose une question depuis quelques jours, et je me dois de trouver une réponse.

J'ai un site php utilisant des sessions pour garder les infos des utilisateurs sous cette forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$_SESSION['USER'] = array (
id =>// id de l'user
email => //email crypter de l'user
password => //mdp crypter de l'user
//.....
);

Ces infos sont les infos extraites de la BDD.

Je me demandais si il n'était pas préférable d'un point de vu sécuritaire, d'utiliser un id de session unique, enregistré en BDD et qui récupérerai les info user en BDD à chaque changement de page via ma class user.
Je pensais à un id contenant l'IP et un numéro unique, le tout crypter.


Qu'en pensez vous ?

Auriez-vous des astuces afin de sécuriser au mieux mes connexions ?


Merci d'avance.

[grunk]

Les données de sessions sont stockées sur le serveur et non chez le client.
Donc les données sont en principe à l'abris (sous réserve que le serveur soit configuré correctement)

D'un point de vue purement technique , il sera plus difficile d'aller lire le fichier session sur le serveur que d'intercepter une requête sql envoyée à un serveur distant.

Le problème des sessions PHP c'est l'id de session qui peux éventuellement être trouvé et donc la session volée.

[Invité]

Bonjour,

Ce qui est sûr et certain, c'est qu'il ne faut pas y mettre des données sensibles comme le mot de passe !

id, nom, prénom, email. C'est tout.

Pour le reste, à récupérer au cas par cas dans la BD (grâce à l'id).

[Geoffrey74]

Bonsoir,

merci pour vos réponses.

J'utilise session_regenerate_id(); pour renouveler l'id de session, est-ce suffisant ?

Y'a t'il une méthode afin de sécuriser au mieux une session ?


Je vais déjà modifier les infos en sessions, et y ajouter l'IP afin de fermer la session en cas de changement?


Merci.

[grunk]

J'utilise session_regenerate_id(); pour renouveler l'id de session, est-ce suffisant ?

Seul non , ça n’empêche pas qu'on peux essayer de "deviner" un id de session et éventuellement tombé sur un qui existe ou même extraire l'id de session via une faille xss.
Par contre le coupler avec d'autres mécanisme de sécurité oui (changement d'ip, durée de session, etc ...)

Quelques articles/codes intéressants sur le sujet :

http://php.net/manual/fr/session.security.php
https://paragonie.com/blog/2015/04/f...e-php-sessions
https://github.com/ezimuel/PHP-Secure-Session

[Geoffrey74]

Bonsoir,

j'ai modifié donc suivant vos conseils.

Mes sessions user ne contiennent que l'ID, l'IP et un timestamp.
Passé 30min sans renouvellement, la session saute, et l'id de session est régénérer à chaque renouvellement.

Merci pour vos conseils.


N'hésitez pas à me reprendre si j'ai oublié quelque chose.