Discussion :

[Rian83]

Bonjour,

suite a une récente attaque sur mon site, du moins a du spoofing de cookies, j'ai décidé de mettre une sécurité complémentaire avec ce système.

Au départ, il vérifiait que le pass crypté dans le cookies soit le même que celui enregistrer dans la BDD (avec un minimum de sécurité).
Mais si un malin trouve une faille XSS et que certain s'aventure la dedans, leur cookies sont récupéré et hop, il modifie ses cookies et prends l'identité de l'autre.

J'ai dis mis un check d'ip aussi. Si les cookies ne sont pas vides, je vérifie que l'IP de la personne accedant au site est bien la même que la dernière enregistrer. Si oui, pas de soucis pas d'usurpation, sinon, bah c'est une autre personne qui essaye d'acceder au site via les cookies d'autre personne.


Ai-je bien fait ?
Un peu trop léger ?


J'attends vos remarques et suggestion sauf celle de sécurisé complètement mon site. C'est une bonne solution, sauf que même quelqu'un d'expérimenter peu passer a côté. (Mieux vaux prévenir que guérir).

[Madfrix]

Bonjour,

une bonne parade contre le vol de cookie est la génération d'un nombre aléatoire stocké à chaque nouvelle page dans un cookie et dans la session ce qui permet par comparaison des 2 de savoir si la session appartient bien à l'utilisateur légitime.

Un exemple, bien qu'un peu bancal est donné dans la FAQ

[Antoine_935]

Salut

Au départ, il vérifiait que le pass crypté dans le cookies soit le même que celui enregistrer dans la BDD (avec un minimum de sécurité).

Ça me parait être une mauvaise idée ça, de trimballer le mot de passe partout.


Outre l'adresse IP, tu peux aussi te servir du « User Agent » (soit le navigateur).
Le plus simple, c'est de faire une concaténation de deux, puis un ptit md5. Ça coupe la route à pas mal de hackers déjà.