Duplication de cookie & sécurité
Dayo
-
olivierperez Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
olivierperez Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
j'ai un énorme souci de sécurité sur mon site. Le site est doté d'une partie "admin" où les administrateurs se loggent par un accès sécurisé et reçoivent en échange un cookie valable pour un certain temps.
Il me semble que certaines personnes ont accès à ces cookies (je soupconne une faille de mon hébergeur, OVH) et peuvent donc les dupliquer et être ainsi considérés comme "idenitifiés".
Pour contourner ce problème (et au lieu d'accuser OVH peut être à tort et sans vraies preuves), je pensais procéder à une vérification d'IP à chaque connexion à une page, pour être sûr que l'IP qui navigue dans la partie admin est identique à celle qui s'est identifiée en premier lieu.
Savez-vous comment je pourrais mettre ca en place ?
Merci mille fois.
j'ai un énorme souci de sécurité sur mon site. Le site est doté d'une partie "admin" où les administrateurs se loggent par un accès sécurisé et reçoivent en échange un cookie valable pour un certain temps.
Il me semble que certaines personnes ont accès à ces cookies (je soupconne une faille de mon hébergeur, OVH) et peuvent donc les dupliquer et être ainsi considérés comme "idenitifiés".
Pour contourner ce problème (et au lieu d'accuser OVH peut être à tort et sans vraies preuves), je pensais procéder à une vérification d'IP à chaque connexion à une page, pour être sûr que l'IP qui navigue dans la partie admin est identique à celle qui s'est identifiée en premier lieu.
Savez-vous comment je pourrais mettre ca en place ?
Merci mille fois.
A voir également:
- Cookie peut se dupliquer si on ne dispose pas d’antivirus
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Dupliquer ecran - Guide
- Dupliquer whatsapp - Guide
- Comodo antivirus - Télécharger - Sécurité
- Request header or cookie too large - Forum Webmastering
14 réponses
Salut Dayo !
Je suis Olivier PEREZ, l'administrateur de http://blog.myeasyprog.fr/ .
Il me semble avoir compris ton problème. Et la solution est en effet dans l'article cité plus haut.
Un point qui ne semble pas clair pour toi est le suivant : Comment se passe le vol de session.
Je vais tenter de t'expliquer le plus clairement possible.
Tout d'abord, il faut savoir que la session est stockée sur le serveur. Il n'est donc pas possible de modifier directement sa session (par exemple, tu peux pas modifier le user_id de ta session sur les sites sur lesquels tu es identifié).
Ensuite, le deuxième point à savoir est : Comment le serveur sait à qui appartient chaque session.
C'est très simple.
Le serveur attribut un numéro unique à chaque session puis enregistre chaque session dans un fichier portant le nom du numéro unique.
Et étant dans des fichiers, je tiens à te re-préciser qu'il est impossible qu'un utilisateur ajoute, modifie ou supprime des valeurs dans sa session.
Maintenant, la technique pour se protéger est de définir, dans chacune des sessions, des valeurs qui seront différentes suivant l'ordinateur du visiteur ou l'endroit où il est.
Par exemple son navigateur ou son IP.
Pour finir, je t'invite à bien relire l'article que j'ai écrit sur cette faille (le vol de session) et comment s'en protéger : http://blog.myeasyprog.fr/securite-protegez-vous-contre-le-vol-de-sessions/ .
Si tu as des questions, que ce soit par rapport à ce problème ou un autre, n'hésite surtout pas. J'ai un paquet de réponses à te donner !
Bien amicalement,
Olivier PEREZ
Administrateur du Bloc d'un développeur
Je suis Olivier PEREZ, l'administrateur de http://blog.myeasyprog.fr/ .
Il me semble avoir compris ton problème. Et la solution est en effet dans l'article cité plus haut.
Un point qui ne semble pas clair pour toi est le suivant : Comment se passe le vol de session.
Je vais tenter de t'expliquer le plus clairement possible.
Tout d'abord, il faut savoir que la session est stockée sur le serveur. Il n'est donc pas possible de modifier directement sa session (par exemple, tu peux pas modifier le user_id de ta session sur les sites sur lesquels tu es identifié).
Ensuite, le deuxième point à savoir est : Comment le serveur sait à qui appartient chaque session.
C'est très simple.
Le serveur attribut un numéro unique à chaque session puis enregistre chaque session dans un fichier portant le nom du numéro unique.
Et étant dans des fichiers, je tiens à te re-préciser qu'il est impossible qu'un utilisateur ajoute, modifie ou supprime des valeurs dans sa session.
Maintenant, la technique pour se protéger est de définir, dans chacune des sessions, des valeurs qui seront différentes suivant l'ordinateur du visiteur ou l'endroit où il est.
Par exemple son navigateur ou son IP.
Pour finir, je t'invite à bien relire l'article que j'ai écrit sur cette faille (le vol de session) et comment s'en protéger : http://blog.myeasyprog.fr/securite-protegez-vous-contre-le-vol-de-sessions/ .
Si tu as des questions, que ce soit par rapport à ce problème ou un autre, n'hésite surtout pas. J'ai un paquet de réponses à te donner !
Bien amicalement,
Olivier PEREZ
Administrateur du Bloc d'un développeur
