A voir également:
- Php, sessions et sécurité
- Alert php ✓ - Forum PHP
- Mode securite - Guide
- Associez chaque situation à l’action la plus appropriée en matière de sécurité informatique : verrouiller la session, quitter la session, ne rien faire ou éteindre l'ordinateur. - Forum MacOS
- Url masquée pour votre sécurité - Forum Programmation
- Header php - Astuces et Solutions
2 réponses
ElementW
Messages postés
4764
Date d'inscription
dimanche 12 juin 2011
Statut
Contributeur
Dernière intervention
5 octobre 2021
1 296
13 mars 2013 à 16:51
13 mars 2013 à 16:51
A moins de visualiser un cas de MITM où on modifie tout à la volée, les cookies de PHP sont plutôt sécurisés, surtout si on sait bien s'en servir.
Il faut d'abord se dire que les sessions PHP se transmettent au client par cookies HTTP, donc ça reste quand même modifiable, soit par un pirate, soit par le client lui-même (avec par ex. ton "addon firefox").
Le site de PHP y consacre même une page (en francais): https://www.php.net/manual/fr/session.security.php
Un script kiddie/hacker pourra s'approprier le cookie par contre.
D'où l'utilité ultime de spécifier un champ haché contenant l'IP à laquelle appartient la session ET un salage (salt), c-à-d une "clé" (des chiffre/lettre/n'importe quoi) que seul TOI possède, qui sera ajouté à l'IP.
Si une tierce personne (en dehors du même réseau que l'attaqué (IP WAN différente)) le copie et l'utilise, l'IP ne sera pas la même, et donc ton système aura le libre choix de lui dire d'aller voir ailleurs.
Et là, tu te garantis une bonne sécurité de base.
Il faut d'abord se dire que les sessions PHP se transmettent au client par cookies HTTP, donc ça reste quand même modifiable, soit par un pirate, soit par le client lui-même (avec par ex. ton "addon firefox").
Le site de PHP y consacre même une page (en francais): https://www.php.net/manual/fr/session.security.php
Un script kiddie/hacker pourra s'approprier le cookie par contre.
D'où l'utilité ultime de spécifier un champ haché contenant l'IP à laquelle appartient la session ET un salage (salt), c-à-d une "clé" (des chiffre/lettre/n'importe quoi) que seul TOI possède, qui sera ajouté à l'IP.
Si une tierce personne (en dehors du même réseau que l'attaqué (IP WAN différente)) le copie et l'utilise, l'IP ne sera pas la même, et donc ton système aura le libre choix de lui dire d'aller voir ailleurs.
Et là, tu te garantis une bonne sécurité de base.