Discussion :

[psychoBob]

Bonjour,

Les nouvelles aventures de PsychoBob au pays des cookies de session:

J'utilise une condition pour l'affichage de certaines pages. Il s'agit de tester si le cookie de session existe, sinon le header renvoit sur la page d'identification.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if(!isset( $_COOKIE[ session_name() ] ) )
{
 die(header('Location:dentification.php'));
;}

Bon, mais ne vaut-il pas mieux faire cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if(!isset($_SESSION['pseudoSession']))
{
 die(header('Location:identification.php'));
;}

Parce qu'à priori le gars va pas pouvoir se créer une variable de session sur le serveur sans être connecté. Par contre il peut peut-être se fabriquer un petit cookie de session, l'insérer dans son navigateur et faire croire à mon site qu'il est connecté.
J'ai tout compris ?

[Swoög]

oui, tout compris

en général : ne jamais faire reposer un point de sécurité d'un site sur cookie.

Ils peuvent être forgés (faille de sécurité)
Ils peuvent être désactivée (faille de disfonctionnement)

[psychoBob]

Donc la première solution est une passoire alors que la seconde est fiable ?
Peut-on passer outre la seconde, du reste ?
Et est-ce la peine de faire plusieurs fois dans la page des test d'existences de variable de session, dès lors qu'un premier test à pour instruction de déclencher le header s'il retourne false ?

J'ai encore du mal à piger le mécanisme là. Mettons que le gars est chez lui il veut afficher une page à accès réservé sans avoir de compte.
Il ne peut pas forcer mes formulaires, il ne lui reste qu'à forcer la condition d'existence des sessions, fait par mes scripts ci-dessus.
Comment il fait ?
De même, si je fais :
if(!isset( $_COOKIE[ session_name() ] ) )
{session_start();}

Puisque le gars peut se fabriquer un faux cookie, il peut aussi très bien démarrer une session sans être connecté. Et là ? Qu'estce qu'il peut faire ? A priori la session ne comportera pas de variables puisquelles sont créés en cas d'identification seulement.

ça fait un max de questions mais elles m'intéressent toute autant.Si quelqu'un a le courage de les traiter une par une, ça sera génial, merci.

[Swoög]

le seul moyen de contourner le second test est le vol de session (ou le piratage du serveur)

si tu es sûr à 100% que ta variable de session existe (exemple, arrêt prématuré du script en cas de non-existence) alors le test de blocage suffit (celui qui arrette le script) à condition qu'il soit fait avant les autres accès à la variable bien sûr

[psychoBob]

En tout, je fais cela en haut de mes pages, dîtes-moi si vous-y voyez une faille :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
<?php
//test si le cookie de session a été créé lors de l'authentification
if( isset( $_COOKIE[ session_name() ] ) )
{
//démarrage de la session
    session_start();
   //verification du temps d'activité ou d'inactivité
if(time()-$_SESSION['dernier_acces']>1200) 
{
//si plus de 1200 secondes d'inactivité : on détruit cookie et session
setcookie(session_name(), '', 1 ); // on détruit le cookie
//on détruit la session
$_SESSION = array();
session_destroy();
}
//si le délais n'est pas dépassé, on réinitialise la variable de session 
au temps actuel.
else
{
$_SESSION['dernier_acces'] = time();
}
}//fin du test d'existence de cookie de session
 
//si la variable pseudoSession initialisée dans le script d'identificiation.php
 n'est pas présente, alors on renvoit à la page identification.php
if(!isset($_SESSION['pseudoSession']))
{
 die(header('Location: identification.php'));
;}
?>

Qu'est ce que vous en pensez ? Du point de vue de la sécurité j'entend, parce que ça fonctionne bien sinon (à l'exception d'opéra qui connecte et déconnecte sans arrêt mais bon je verrais ça plus tard.

[Maxoo]

pourquoi tu te sers de cookies ?

les sessions suffisent largement pour ce que tu veux faire, ton test sur les cookies est comme si tu mettais if(1), parce que pour moi les cookies sont des supers passoires.

Donc voila.