Bonjour,

J'ai crée un logiciel de gestion commerciale (devis - factures - gestion des produits ...) en intranet pour une petite structure (env. 10 pers). Il utilisé depuis 6 mois et on viens de me faire remarquer une grosse faille en securité sur un des postes.

Mon problème est le suivant : j'ai un client qui a rajouté un add-on sur google (le google desktop 4.2006.0627.0501-frs-pb) et quand il fait une recherche sur le net google lui ramene les résultats contenus dans l'historique de son poste.

Et là, il a accès au logiciel de gestion commerciale et il arrive a consulter ses pages sans etre déconnecté (il est connecté automatiquement lors de l'ouverture de la page depuis google).

Voici mon code de connexion s'il peut vous etre utile :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
// récupère les valeurs saisises dans les champs de texte
if(isset($_POST['TxtId'])&& isset($_POST['TxtPass']))
{
    if($_POST['TxtId'] != "" AND $_POST['TxtPass'] != "")
   {
         $_SESSION['id'] = $_POST['TxtId'];
         $_SESSION['pass'] = md5($_POST['TxtPass']);
    }
    else{$_SESSION['id'] = "";$_SESSION['pass'] = "";}
}
 
// Vérifie si l'identifiant et le mot de passe sont valides 
$RechAdminConnect = "SELECT id, MDP FROM utilisateur WHERE MotDePasse = '".$_SESSION['pass']."'";
$RechAdminConnect .= "AND Identifiant = '".$_SESSION['id']."' ";
$AdminConnect = mysql_query($RechAdminConnect) or die(mysql_error());
$row_AdminConnect = mysql_fetch_assoc($AdminConnect);
$totalRows_AdminConnect = mysql_num_rows($AdminConnect);
 
// traitement des erreurs

J'aimerais savoir si certains d'entre vous on déjà eu le probleme et si oui comment vous l'avez résolu.

Merci