Sécuriser ses applications web avec le mkframework

Version imprimable

13/10/2014, 23h05
imikado

Sécuriser ses applications web avec le mkframework

Découvrez dans cet article les règles à suivre pour sécuriser vos sites web, notamment avec le mkframework.
http://imikado.developpez.com/tutori...e-mkframework/
09/11/2014, 12h34
miky55

Salut,
J'ai bien aimé l'article puisqu'il passe sur à peu près tous les points essentiels à la sécurité d'un site web que ce soit avec ton framework, avec un autre framework php voir même un autre langage. Il pourra sensibiliser les développeurs débutants ou amateurs qui relèguent souvent la sécurité en second plan...

Cela dit je trouve que le problème du vol de session est balayé bien trop rapidement, utiliser le flag httponly pour cette tâche n'est pas du tout suffisant. Mkframework utilise t-il d'autres mécanismes pour protéger les sessions? (vérification user-agent et ip coté serveur, rotation de l'id session, chiffrement etc...)

Tu aurais aussi pu parler de ssl et du flag secure qui force les cookies à transiter uniquement en https.

Citation:

Envoyé par miky55

Salut,
J'ai bien aimé l'article puisqu'il passe sur à peu près tous les points essentiels à la sécurité d'un site web que ce soit avec ton framework, avec un autre framework php voir même un autre langage. Il pourra sensibiliser les développeurs débutants ou amateurs qui relèguent souvent la sécurité en second plan...

Merci ;)

Citation:

Envoyé par miky55

Cela dit je trouve que le problème du vol de session est balayé bien trop rapidement, utiliser le flag httponly pour cette tâche n'est pas du tout suffisant. Mkframework utilise t-il d'autres mécanismes pour protéger les sessions? (vérification user-agent et ip coté serveur, rotation de l'id session, chiffrement etc...)

Tu aurais aussi pu parler de ssl et du flag secure qui force les cookies à transiter uniquement en https.

Effectivement, j'ai peut etre été un peu vite sur le sujet. Pour information toujours dans le fichier de configuration, on peut définir le paramètre "secure"
Code:

1 2 3 4 5 6 7 8 9 [auth] ;note : >= php5.2 dans le php.ini session.use_cookies = 1 session.use_only_cookies = 1 session.cookie_httponly=1 session.cookie_secure=0 session.cookie_domain= session.cookie_path= session.cookie_lifetime=
Ensuite en ce qui concerne les informations de vérification de l'identité, effectivement l'IP (depuis des années) et le user agent (depuis le mois de septembre)