Aller au contenu

Sessions et les sous domaine


Sujets conseillés

Posté

Bonjour,

est il possible de garder une session meme en changeant de sous domaine ?

Par exemple, on ouvre une session sur www.exemple.com et les informations de cette session sont disponibles meme si on se trouve sur test1.exemple.com

Posté

ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

Posté

Pour plus de sécurité, tu stockes également un hash (md5, par exemple) du mot de passe de l'utilisateur dans le cookie (Mais il faut que ce mot de passe soit également haché en base)

Posté

En cas d'attaque xss, il y a fort à parier que l'utilisateur d'un des sous-domaine puisse récupérer les valeurs des cookies d'un utilisateur loggué par un autre sous-domaine. Il sera alors relativement facile de s'identifier à la place de l'autre.

Il faut peut etre aussi désactiver le phpsessid dans les urls pour plus de sécurité.

Posté
ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

Posté
le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

oui, mais sur un site "classique", je n'utilise pas les cookies pour stocker les variables de session.

Donc a part utiliser les cookies, il n'y a pas de solution ?

Posté

Sur un site classique, avec des sessions, tu utilises forcément les cookies non ? A moins de passer l'identifiant dans l'url, ce qui est encore plus simple à récupérer.

Ou alors tu as une autre méthode ? Si oui, je suis curieux :)

Je vois une autre méthode, en y pensant, en logguant les ips et en se basant sur les ips pour déterminer l'identification, mais c'est pas très sécurisé puisqu'on peut spoofer les ips.

Posté

ben j'utilise les sessions normal donc les infos de sessions sont stoqué sur le serveur et pas sur le client.

je parle bien de session servant pendant la navigation d'un membre.

Pas du cookie pour se connecter automatiquement ou la effectivement j'utilise un cookie avec l'id, et le mot de passe hashé en md5 auquel je concatene une chaine et que je re hash apres.

Pour les ips, j'y ai egalement pensé mais dans le cas des utilisateur d'aol, sa poserait des problemes deja dans un premier temps sans meme parler de spoofing

Posté

Pour eviter les session/cookie hijacking on peux ajouter un hash (md5) du HTTP_USER_AGENT

Plus d'infos (en anglais) ici:

-http://shiflett.org/articles/the-truth-about-sessions

Posté (modifié)

En fait quand tu utilises une session php normale, il y a : soit l'identifiant qui se balade dans les urls, soit un cookies avec cette identifiant. Donc tu utilises forcément les cookies, à moins de te trimballer les identifiants ^^

L'identifiant stocké dans le cookies ne sert qu'à savoir quelle est la session du serveur à interroger. Les variables un petit peu sensibles, on les stocke dans la session bien entendu :)

Modifié par nalrem

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...