Discussion :

[BOU59000]

Bonjour,

Je me pose une question qui a certainement une réponse toute simple... ou pas.

Si j'utilise SESSION pour créer un token de sécurité.
L'objectif de ce token est de savoir que la page que visite le visiteur est bien l'une de mes pages.

Exemple, une personne mal intentionnée recrée sur son PC l'un de mes formulaires et fait quelques modifications.
Le token me permet de vérifier que ma page est bien ma page.

Et là je me pose des questions.
Comment bien utiliser ce token ?

L'idée la plus simple qui me vient à l'esprit est :
Dans toutes mes pages où j'ai un formulaire, je crée un input dont la valeur reprend la donnée contenue dans ma SESSION ['token'].
Et je vérifie ensuite cela de la sorte $_POST['recup_token']=SESSION ['token'] => Oui ou Non.

Existe-t-il une manière plus élégante de faire cela ?

De plus, avec cette manière de procéder, si je n'ai pas de formulaire... le SESSION ['token'] ne me sert à rien.

D'avance merci pour vos réponses

[gabi7756]

Bonjour,

Tout d'abord tu as ton front :
Ta page web ( navigateur web = client)

Ton back :
Le script qui insère en bdd les données saisie dans le formulaire (côté serveur) ou fait un autre traitement qui n'est pas fait par le navigateur ( upload de fichier , envoie de mail etc)


Ton objectif , être sur et certain que quelqu'un qui reproduit ta page web (phishing) ne pourra pas venir récupéré des données de ton serveur ?
La on pourra parler d'authentification etc ...

Ou alors certifié à l'utilisateur qu'il est bien présent sur ton site et pas un scam ? Bah la il existe pas 40 moyen ... Un utilisateur intelligent , je sais c'est dur mais ca existe


Troisième options , tu parles d'un jeton CSRF :
https://www.cyber-management-school.com/ecole/les-fondamentaux-de-la-cybersecurite/csrf-quest-ce-que-le-cross-side-request-forgery/#:~:text=Utiliser%20un%20jeton%20ou%20un,jeton%20CRSF%20%C3%A0%20l'utilisateur.

EDIT : En soit oui tu as raison dans ton postulat c'est une manière de le faire
Cdt

[BOU59000]

Bonjour,

Merci pour ta réponse.

Pour l'utilisateur intelligent ça m'a bien fait rire

Si je comprends bien, cela reste vraiment centré sur la protection des formulaires cet histoire de token.

Du coup, c'est tout bon pour moi.

Encore merci.

[ABCIWEB]

Si je comprends bien, cela reste vraiment centré sur la protection des formulaires cet histoire de token.

Du coup, c'est tout bon pour moi.

Encore merci.

Oui et l'objectif de ce token n'est pas de savoir que la page que visite le visiteur est bien l'une de tes pages, comme tu le disais en première intention, mais d'assurer que les données que traitera le script php proviennent bien de ton formulaire. Cela protège le script de traitement php uniquement, mais c'est déjà pas mal.

Pour le reste comme je vois que tu t'intéresses à la sécurité, si tu utilises des sessions notamment lors de l'authentification ou pour contrôler l'accès à un espace protégé, il est conseillé d'utiliser session.use_strict_mode pour plus de sécurité, car cette configuration est désactivée par défaut.