rat-du-net Posté 17 Novembre 2006 Posté 17 Novembre 2006 Bonjour, est il possible de garder une session meme en changeant de sous domaine ? Par exemple, on ouvre une session sur www.exemple.com et les informations de cette session sont disponibles meme si on se trouve sur test1.exemple.com
nalrem Posté 17 Novembre 2006 Posté 17 Novembre 2006 Hello en php : ini_set('session.cookie_domain', '.example.org'); ini_set('session.use_cookies',1);
rat-du-net Posté 17 Novembre 2006 Auteur Posté 17 Novembre 2006 ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre. Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?
captain_torche Posté 17 Novembre 2006 Posté 17 Novembre 2006 Pour plus de sécurité, tu stockes également un hash (md5, par exemple) du mot de passe de l'utilisateur dans le cookie (Mais il faut que ce mot de passe soit également haché en base)
nalrem Posté 17 Novembre 2006 Posté 17 Novembre 2006 En cas d'attaque xss, il y a fort à parier que l'utilisateur d'un des sous-domaine puisse récupérer les valeurs des cookies d'un utilisateur loggué par un autre sous-domaine. Il sera alors relativement facile de s'identifier à la place de l'autre. Il faut peut etre aussi désactiver le phpsessid dans les urls pour plus de sécurité.
georges Posté 17 Novembre 2006 Posté 17 Novembre 2006 ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre. Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ? le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..
rat-du-net Posté 17 Novembre 2006 Auteur Posté 17 Novembre 2006 le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique".. oui, mais sur un site "classique", je n'utilise pas les cookies pour stocker les variables de session. Donc a part utiliser les cookies, il n'y a pas de solution ?
nalrem Posté 17 Novembre 2006 Posté 17 Novembre 2006 Sur un site classique, avec des sessions, tu utilises forcément les cookies non ? A moins de passer l'identifiant dans l'url, ce qui est encore plus simple à récupérer. Ou alors tu as une autre méthode ? Si oui, je suis curieux Je vois une autre méthode, en y pensant, en logguant les ips et en se basant sur les ips pour déterminer l'identification, mais c'est pas très sécurisé puisqu'on peut spoofer les ips.
rat-du-net Posté 17 Novembre 2006 Auteur Posté 17 Novembre 2006 ben j'utilise les sessions normal donc les infos de sessions sont stoqué sur le serveur et pas sur le client. je parle bien de session servant pendant la navigation d'un membre. Pas du cookie pour se connecter automatiquement ou la effectivement j'utilise un cookie avec l'id, et le mot de passe hashé en md5 auquel je concatene une chaine et que je re hash apres. Pour les ips, j'y ai egalement pensé mais dans le cas des utilisateur d'aol, sa poserait des problemes deja dans un premier temps sans meme parler de spoofing
spoutniknak Posté 17 Novembre 2006 Posté 17 Novembre 2006 Pour eviter les session/cookie hijacking on peux ajouter un hash (md5) du HTTP_USER_AGENT Plus d'infos (en anglais) ici: -http://shiflett.org/articles/the-truth-about-sessions
nalrem Posté 17 Novembre 2006 Posté 17 Novembre 2006 (modifié) En fait quand tu utilises une session php normale, il y a : soit l'identifiant qui se balade dans les urls, soit un cookies avec cette identifiant. Donc tu utilises forcément les cookies, à moins de te trimballer les identifiants L'identifiant stocké dans le cookies ne sert qu'à savoir quelle est la session du serveur à interroger. Les variables un petit peu sensibles, on les stocke dans la session bien entendu Modifié 17 Novembre 2006 par nalrem
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant