shenron76 Posté 25 Mai 2008 Posté 25 Mai 2008 Bonjour, Je suis le webmaster d'un site sur lequel les membres possèdent des crédits pour jouer à des jeux. Je possède un compte sur le site (comme si j'étais un simple membre) et un autre compte permettant d'accéder à la partie administration du site. Vendredi dernier, le 23/05/08, j'ai passé la journée connectée sur Internet (via la connexion wifi d'un ami). Durant cette journée, je me suis connecté plusieurs fois à mon compte "membre", à mon compte "admin" sur mon site. Hier (samedi 24/05/08), je vais sur la partie admin et là je m'aperçois que le compte comportant l'id "125" a gagné le 23/05/08 aux alentours de 13h50. Sauf que le le compte 125, c'est MON compte "membre" !!!!! Je vais voir un peu plus en profondeur et là je m'aperçois que l'adresse email a été modifiée ! Mon adresse email a été remplacée par l'adresse "iona.i_AT_libero.it" ! Mon mot de passe n'a pas été modifié, mon adresse postale n'a pas été modifiée, bref, juste l'adresse email a été changée et tous les crédits ont été utilisés (je me sert de ce compte pour tester les jeux). Le problème n'est pas vraiment que mes crédits aient été utilisés (car j'ai évidemment supprimé le gain) mais plutôt que quelqu'un ai réussi à accéder à mon compte "membre" !!! Pour l'identification j'utilise un système de session (pseudo + mot de passe), le mot de passe est hashé dans la bdd et comporte 11 lettres... Comment cela a-t-il pu arriver ? (J'ai pensé à une interception des données via la connexion wifi ?) Comment protéger d'avantage ? Merci d'avance à ceux qui pourront m'aider car j'avoue être étonné de cette situation (en 4 ans de webmastering, et développement d'applications web, c'est la première fois que je suis sujet à un tel problème !)
Kioob Posté 25 Mai 2008 Posté 25 Mai 2008 Hello, via un sniffeur Wifi il peut effectivement être très simple de voler la session PHP... voir même les logins/pass que tu utilises pour les formulaires, pour les .htpasswd, pour te connecter en POP, en IMAP, ainsi qu'en FTP. S'il existe des versions cryptées de ces protocoles, c'est bien parce que la version "classique" n'est pas suffisante. Et il n'y a pas que le Wifi qui est exposé. La plupart des autres clients de ton hébergeur peuvent facilement "piquer" l'IP de ta machine de temps à autre afin de tracer tout ce qui passe. Bref. Pour l'espace d'administration, une connexion via SSL serait la bienvenue. Pour les comptes "normaux", selon l'importance des données un simple mécanisme de protection pour se prémunir du vol de session devrait suffire. Sans oublier de changer tes mots de passe, évidement. Pour la connexion Wifi de ton pote, vérifier qu'elle est cryptée en WPA et pas en WEP. Maintenant si le gars a eu l'occasion de choper tes pass FTP, perso j'effacerais et ré-uploaderais tout le site.
objectifweb Posté 25 Mai 2008 Posté 25 Mai 2008 Bonjour, Quel est l'adresse du site qu'on y jette un oeil ? Patrick
shenron76 Posté 26 Mai 2008 Auteur Posté 26 Mai 2008 Je ne préfère pas donner en public afin de ne pas faire peur aux membres ... Car même si c'est la première fois en 4ans d'activité je préfère rester discret...
nlx Posté 26 Mai 2008 Posté 26 Mai 2008 Bonjour, Si ton id de session circule par lien et non par cookie, ce schéma est envisageable : - tu ouvres une session sur ton interface d'admin ; - tu changes de page dans ton navigateur via un lien sans te déconnecter, donc sans détruire ta session ; - le site suivant où tu vas, dispose dans son système de suivi, de ton referer, donc de ta session. Si vous saviez le nombre d'interfaces d'administration auxquelles il est possible de se connecter comme ça! Peut-être cela n'a rien a voir, c'est juste une piste...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant